Cuando el inicio de sesión se convierte en un cuento chino

El episodio de la semana que termina bien podría titularse con el clásico “Estas cosas sólo me pasan a mí”. Por razones que prefiero no revelar (sí, mi torpeza de nuevo), tuve que mandar a reparar la pantalla de mi celular principal. De modo que, al arrancar el muleto e intentar acceder a mis cuentas, me pidió el PIN para completar la autenticación de múltiple factor.

Esto de la autenticación de múltiple factor suena un poquito estrafalario, pero es en realidad un concepto muy sencillo. Al entrar en, por ejemplo, tu cuenta de Twitter, ponés nombre de usuario y contraseña. Si estos datos se corresponden, Twitter te envía un PIN de 6 dígitos a tu celular. De esa forma, si un fisgón (o un delincuente) consiguen tu clave, todavía necesitaría tener tu teléfono para iniciar sesión. Y eso, en general, es más complicado. Por comodidad, podés autorizar (o guardar, como se dice en ciertos casos) un cierto dispositivo para que en el futuro no te vuelva a pedir el dichoso PIN.

Aunque no está libre de fallas y se le conocen vulnerabilidades, funciona muy bien. Hasta que te empiezan a llegar los SMS en chino. En serio. En chino. O eso me pareció. Fui a Google Translate y lo detectó como coreano, pero conozco algo de ese idioma y no me parecía coreano. Daba igual. No había números y no podía entrar en mi cuenta de Twitter. Y por lo tanto tampoco podía obtener un código de respaldo, para loguearme por medio de la Web.

¿Contaba con códigos impresos, como los que ofrece Google? No. ¿El traductor me había dado alguna pista acerca de cuáles podían ser los seis numeritos de mi PIN? Ni cerca. ¿Y el teléfono que había mandado a reparar? Cifrado y restaurado a parámetros de fábrica, obviamente. Esperen, ¿tenía algún otro dispositivo autorizado? ¡Sí!

Luego de una mudanza es difícil encontrar casi cualquier cosa, pero mi fiel Galaxy S4 está siempre a mano. Así que obtuve un código de respaldo y pude acceder a la app en mi muleto. Twitter me resulta fundamental para escuchar a mis lectores y no puedo darme el lujo ni de tenerla desactivada ni de tenerla desprotegida.

Pero los SMS con el PIN para acceder a otros dispositivos seguía llegando en chino (o en coreano o en lo que fuera) y lo de buscar un código de respaldo cada vez que quería loguearme en una computadora estaba empezando a impacientarme (para decirlo elegantemente).

Recuerdo salvador

Me acordé entonces de algo que había hablado con Iván Arce, CTO de Quarkslab, un tiempo atrás. Me había sugerido que escribiera alguna vez acerca de las apps para autenticación de múltiple factor, que añaden un grado mayor de seguridad al sistema; y, en particular, me había hablado del hardware para este fin. Gracias a esa conversación incorporé esta información en mi último libro, Hackearán tu Mente.

Una tenue luz de esperanza se había encendido en mi horizonte. Fui a Play, bajé el Google Authenticator y lo instalé en mi muleto. Luego entré en el sitio de Twitter, fui a Cuenta> Seguridad> Configurar una aplicación de generación de códigos y apareció una pantalla con un código QR. Abrí Authenticator y apreté el botón rojo con un signo + (Agregar) y ahí la app me dio dos opciones: escanear un código QR o ingresar una clave. Obviamente, opté por lo primero y en dos segundos tenía el generador de códigos para Twitter en el celular.

Los PIN de seis dígitos duran 30 segundos, y descubrí algo interesante, gracias a que el teclado de mi muleto tiene una barra espaciadora del tamaño de una bacteria. Aunque esos seis números están separados por un espacio, funcionan igual si los escribimos todos juntos. El espacio es sólo para facilitar la lectura o la memorización. Al menos, así es en Twitter, Gmail y Facebook, por lo que que imagino que se trata de algo estándar.

¿Por qué me llegaban los SMS en chino (o en coreano)? Ni la menor idea. Tengo en mi lista de pendientes preguntarle a Twitter cuál puede haber sido el motivo; figura con la prioridad 9670. Cualquiera que fuese, no iba a desactivar la autenticación de múltiple factor ni por un instante. Habría sido una buena solución para evitarme el buscar códigos de respaldo, pero uno nunca sabe, y en Internet un poco de paranoia nunca está de más.

Visto de afuera, instalar una app para generar códigos parece añadir una capa de complicación a la ya engorrosa tarea de recordar docenas de contraseñas. En realidad, es al revés. Es mucho más cómodo que recibir el PIN por SMS (incluso cuando no te los mandan en chino) y bastante más seguro.

Pero todavía mejor es comprar un hardware de autenticación. Google acaba de entrar en ese negocio asociándose con la compañía que domina el mercado, Yubico, con su Yubikey. Estos dispositivos, semejantes a un pendrive, son muy económicos (18 dólares el modelo básico) y por lo tanto tiene sentido para aquellos que deben proteger cuentas de correo, Facebook, Twitter, Dropbox y otras que contienen material muy sensible. Que no, no es la mejor idea poner ese tipo de cosas en la Nube, pero sabemos de sobra que muchas veces resulta inevitable.