Con motivo del día de Día de Internet Segura ayer, 6 de febrero, Google nos hizo llegar un par de estas llaves de seguridad para probar la protección avanzada.
El Programa de Protección Avanzada de Google hace uso de dos llaves físicas (pequeños dispositivos USB y Bluetooth) para añadir funciones de seguridad y de protección adicionales a la verificación en dos pasos, y para protegerse contra ataques maliciosos como la suplantación de la identidad o el phising.
Para utilizar la protección avanzada de Google es necesario hacerse con dos llaves que funcionan con el estándar denominado “FIDO Universal 2nd Factor” (U2F); una es una llave USB y otra es similar al mando de la llave de un coche pero que funciona por Bluetooth y se carga (la batería) por USB. Las llaves de seguridad se pueden adquirir en Amazon, el modelo USB y el modelo Bluetooth (hacen falta las dos), y en otros sitios de internet.
El uso de las llaves reemplaza los códigos de seguridad por SMS y permiten iniciar sesión en ordenadores y dispositivos móviles Android o iOS.
Sin embargo hay que tener en cuenta que al hacer uso de las llaves de seguridad habrá que llevarlas encima para iniciar sesión por primera vez (en ordenadores propios o ajenos). Esto significa que sólo deberías activar la protección avanzada si no te importa ir por la vida con una llave USB (tiene el tamaño de un llavero pequeño) y si realmente quieres añadir una barrera extra de protección contra ataques maliciosos. Aunque es posible seleccionar ordenadores y dispositivos de confianza (el ordenador de casa, el móvil) en los cuales sólo se pedirá la contraseña; en ese caso la llave sólo se pedirá ocasionalmente para la verificación de dos pasos (como sucede con los SMS) y en ese caso la verificación se completa simplemente pulsando el botón en la llave.
El uso de estas llaves también limita las opciones a la hora de utilizar los servicios de Google: en el ordenador sólo podrás usar Chrome como navegador para acceder a las apps de Google, y en móviles sólo funcionarán las aplicaciones propias de Google como Gmail o Google Calendar. Pero al usar la verificación por llave no funcionarán los programas genéricos de correo o de agenda, aunque sean compatibles con Gmail y Google Calendar. Tampoco es posible dar acceso a aplicaciones de terceros a los servicios de Google, caso de Drive.
Según Google las llaves de seguridad son considerados desde hace tiempo como “el mecanismo más seguro de un proceso de verificación de dos pasos y como la mejor protección contra acciones de phishing”: cualquier intento de acceso o de ataque que carezca de la llave de seguridad será bloqueado incluso aunque se disponga de la contraseña (si se ha hecho con ella a través de phising, por ejemplo).
Pero lo anterior incluye también al propietario legítimo de la cuenta si no dispone de la llave, si la ha perdido o si la ha olvidado. En este caso se podrá el proceso de recuperación de la cuenta podría ser algo más engorroso. En cualquier caso la llave por sí sola no da acceso a la cuenta de Google si no se tiene también la contraseña.
De momento las llaves no se pueden utilizar con las cuentas de G Suite (cuentas de empresa o corporativas) pero sí con cualquier cuenta convencional de Google.
