Últimamente el tema de la seguridad informática está muy de moda. Parece que todo tipo de organismos y empresas están cayendo bajo el ataque de hackers –LulzSec ha sido protagonista especial estos días- y eso ha hecho que estemos algo más sensibles ante el tema. Los sustos pueden venir por doquier, y ahora ha aparecido un aterrador documento que me ha hecho darme cuenta de que necesitaba un grado más de seguridad en Gmail.
El documento, publicado en inglés en el blog de un usuario llamado Martin De Wulf, nos relata cómo la cuenta de Gmail de su novia fue hackeada de buenas a primeras. Nuestro sufrido usuario consiguió que Google restaurara la cuenta gracias aun formulario -el enlace proviene de este útil artículo en Labnol– en el que rellenó algunos datos que lo autentificaban como el dueño original. Sin embargo tras recuperarla vio como había perdido los contactos -que no pudo recuperar a pesar de existir un servicio que ayuda en ese apartado- y algunos correos, y lo que es peor: al cabo de unas horas se la habían vuelto a hackear, y vuelta a lo mismo.
De Wulf repitió el proceso un par de veces más hasta que se dio cuenta de que a través del portátil de la novia había algún troyano instalado -quizás un keylogger- que volvía a darle acceso a la cuenta a los hackers. Logró cortar esa vía de acceso, y recuperar (más o menos) el funcionamiento normal de la cuenta de la novia. Afortunadamente para la novia de nuestro protagonista, la cuenta de correo de Gmail no era su cuenta de correo principal.
Desafortunadamente para mi, perder mi cuenta de Gmail sería un vedadero desastre.
La lección está clara: el tradicional mecanismo de usuario y contraseña no es suficientemente seguro para tranquilizarme (o tranquilizaros), así que hay que buscar otra opción. Y aquí es donde entra en juego una nueva característica de Gmail que Google puso en marcha en febrero de 2011 y que pasó totalmente inadvertida en mi caso.
Se trata de la llamada verificación en 2 pasos, que añade un grado de seguridad adicional muy interesante que se usa en bancos: la verificación a través de un mensaje SMS. En realidad, no solo se puede realizar a través de un SMS, ya que podemos incluso instalar pequeños clientes de verificación en iOS, Android y BlackBerry OS -el resultado al final es el mismo que el de usar verificación por SMS-.Así pues, cuando uno se conecta a la cuenta de Gmail:
- Introduce su usuario y contraseña, como siempre
- Se nos pide el código de verificación, que llega a través de un SMS a nuestro móvil.
El método, como podéis observar, es mucho más eficiente a la hora de proteger nuestra seguridad: para entrar en nuestra cuenta de Gmail necesitaremos tanto acceso a Internet como acceso a nuestro teléfono: un hacker difícilmente tendrá ambas cosas.
De hecho, aún teniéndolas Google ofrece una tercera vía de verificación: los llamados Backup Codes, que no son más que 10 códigos adicionales que debemos apuntar de forma separada y guardar a buen recaudo (en un lugar accesible no visible pero accesible en casa, por ejemplo) y que servirían para acceder a la cuenta incluso en el caso de que perdiéramos o nos robaran el móvil.
El servicio de verificación en dos pasos permite además que utilicemos el mismo código de verificación durante 30 días, un periodo razonable en el cual no tendremos que estar con el móvil pegado al culete cada vez que abramos sesión en Google: una vez verificado nuestro ordenador -una verificación por dispositivo- podremos usar Gmail normalmente durante 30 días si así lo deseamos.
El proceso de configuración de la verificación en dos pasos es algo más largo de lo que podríamos esperar -en Google ya advierten que como mínimo tardaréis 15 minutos, y es verdad-, pero desde luego si usáis Gmail para casi todo -como es mi caso- esa seguridad adicional es muy, pero que muy bienvenida.
Hay alguna consecuencia adicional, como el hecho de que hay programas asociados a Gmail que necesitarán de una verificación inicial (como Picasa, por ejemplo, o el cliente de Gmail de Android), y aunque la cosa es un poco rollo al principio, como dice el bueno de Bruce Schneier, en esto de la seguridad lo importante es que las molestias te compensen.
Y en este caso, desde luego, compensan.
Interesante lo de los SMS, tengo que probar si los envían a Cuba también.
Una pregunta, que te llega un SMS y una key nueva cada vez que intentas hacer login ó es una cada 30 días ?
Allove, por defecto cada vez que intentas hacer login te mandan un código de verificación de 6 dígitos por SMS.
Pero puedes hacerlo algo más cómodo y hacer que tras meter el código de verificación una vez ya no te lo vuelva a preguntar en 30 días en ese ordenador/navegador, es una opción que te da al verificar el código.
Puedes activarla, con lo cual Gmail funciona como siempre durante 30 días, al cabo de los cuales te volverá a pedir el código de verificación, y vuelta a lo mismo. Lo de los 30 días es por comodidad, pero claro, tienes el riesgo de que si te roban la cuenta durante esos 30 días el hacker/cracker podrá acceder sin tener que meter código de verificación.
Eso os pasa por trabajar con un servicio de correo directamente sin usar un cliente, como Outlook o Thunderbird, que te permite tener los correos en local. Como mínimo así te aseguras que no pierdes tus datos históricos…
Yo tuve correo imap en el outlook express en tiempo, pero hice algo mal y me cargue lo del oulook y lo del servidor,ja,ja,ja
Pingback: de la red – 10/07/2011 | Notas tecnológicas
Pingback: Asegura tu cuenta de Google al máximo nivel « Blog de Hosting Tecnología BarnaHosting
Hola.
¿Disculpa y si se roban el celular? ¿Cómo se hace para obtener de nuevo el código de verificación?
Gran saludo….
Pingback: Haz un backup de tus datos. Ya. | Incognitosis
Pingback: Adivinar tu contraseña nunca fue más fácil | Incognitosis