Las llaves USB son el futuro de la seguridad, pero ¿funcionan con Android?

Las llaves USB son el futuro de la seguridad, pero ¿funcionan con Android?

Seguridad

Las llaves USB son el futuro de la seguridad, pero ¿funcionan con Android?

Las llaves de seguridad para móvil pueden ser el sucesor que necesitamos para la autenticación en dos pasos, que ha demostrado ser insuficiente.

22 octubre, 2018 15:06

Cuando compramos un móvil o creamos una cuenta en un servicio, tenemos en cuenta muchos aspectos importantes, pero ¿alguno de ellos es la seguridad? Probablemente no, y debería ser una de nuestras prioridades.

La seguridad ya no es cuestión de crear una contraseña única o poco común; simplemente eso ya no es suficiente para enfrentarse a las hordas de hackers que quieren nuestros datos. Incluso aunque usemos la contraseña más difícil que se nos ocurra, no servirá de nada si el servidor es hackeado y obtienen nuestra contraseña en texto plano, por ejemplo.

La autenticación en dos pasos ya no es suficiente

La responsabilidad sobre nuestra seguridad no depende sólo de nosotros, los usuarios; también de los servicios y el hardware que usamos. Si uno de ellos no está a la altura, poco importa que el resto no lo esté; una cadena sólo es igual de fuerte que su eslabón más débil.

Android ha sido clave en mejorar nuestra seguridad, gracias a opciones como la autenticación en dos pasos. Este método consiste en comprobar que somos quienes decimos ser usando un segundo dispositivo o servicio. Un método muy común es enviar un correo o un mensaje con una clave.

Sin embargo, incluso estos sistemas son tan seguros como parecen; si un atacante tiene acceso a nuestro móvil, habiéndolo infectado con malware gracias a una app que hemos instalado, por ejemplo, podría obtener el código que hemos recibido y entrar en nuestra cuenta sin problemas. Los mensajes a correos también están cada vez más en desuso.

Por todo eso, Google ofrece un método alternativo (y más sencillo) de autenticación en dos pasos: un mensaje emergente que nos pregunta si realmente queremos dar acceso a nuestra cuenta. Pero incluso ese método tiene sus desventajas.

Las llaves USB de seguridad, la clave para nuestra privacidad

La clave puede estar en usar un dispositivo adicional para comprobar nuestra identidad; algo físico, que llevemos siempre encima como si fuera un documento de identidad, pero incluso más seguro. Y así nacieron las llaves USB de cifrado.

Estas llaves son memorias USB que guardan una clave criptográfica única; en los servicios compatibles, lo único que tenemos que hacer para autenticarnos es insertar la llave en nuestro ordenador. El programa o web obtendrá la clave y comprobará que es auténtica; así que, si no queremos, no tenemos ni que escribir nuestro usuario ni contraseña. Por todo esto, las llaves USB se han planteado como las verdaderas sucesoras de las contraseñas.

En estos momentos, las dos llaves más populares son las de YubiKey y Google. La primera, creada por la empresa de seguridad Yubico, está disponible en varios factores de forma; suelen ser pequeñas, y la idea es que las llevemos en nuestro llavero como una «llave» normal. Aunque también hay otras minimalistas, que están diseñadas para estar siempre en el conector USB de nuestro ordenador.

Por su parte, Google lleva un tiempo usando llaves USB para garantizar la seguridad en sus propias oficinas; y recientemente decidió compartir esta tecnología con el mundo. Las Titan Key son llaves USB que nos permiten iniciar sesión en Google sin necesidad de contraseña; son las mismas que la compañía usa, así que su seguridad está garantizada. Aunque en un principio sólo se venden en EEUU, es de esperar que con el tiempo vayan llegando al resto del mundo.

Llaves de seguridad para móvil, también existen

Probablemente te has dado cuenta de que sólo he hablado de ordenadores hasta ahora. Pero eso no significa que los smartphones, y Android en particular, no puedan disfrutar de esta tecnología. Los grandes fabricantes ya soportan el sistema operativo móvil por defecto, pero la mayoría ha decidido no usar el puerto USB.

Lo cual tiene sentido; el mercado de los smartphones está muy fragmentado en cuanto a las conexiones disponibles. Los más modernos y de gamas más altas ya usan USB-C, pero no podemos ignorar la gran porción del mercado de móviles con microUSB; eso sin mencionar Apple y su obsesión por seguir usando Lightning.

Por eso, los fabricantes de llaves han preferido optar por otros estándares, que no nos obliguen a conectar la llave al móvil.

Yubikey, la opción con NFC

En concreto, NFC parece ser la opción más popular; el Yubikey 5 usa este estándar para que sólo tengamos que pasar la llave por el móvil para desbloquear nuestra cuenta.

Es un proceso rápido que no requiere conectar nada, y que inmediatamente nos permitirá conseguir una conexión segura. No necesita energía y permite una llave pequeña que podemos llevar en el llavero.

Google apuesta por el Bluetooth

En cambio, en Google han optado por una versión de su llave con Bluetooth. La ventaja de esta implementación es que no tenemos que pasar la llave cerca del móvil; el alcance de Bluetooth es mucho mayor. Cuando compramos una Titan Key, vienen las dos versiones en la caja: la USB y la Bluetooth; así que no tenemos que pagar el doble, Google ofrece el paquete completo por 50 dólares.

La llave Bluetooth es más voluminosa que alternativas con NFC, y necesita una batería para funcionar (recargable por USB). Sin embargo, la mayor ventaja de usar Bluetooth es también su mayor desventaja; un ladrón podría iniciar sesión a distancia, mientras que con una llave NFC tendría que juntar el móvil y la llave. Pero claro, si nos roban la llave lo primero que tendríamos que hacer es desautorizarla para entrar en nuestra cuenta.

Como véis, ya hay opciones para iniciar sesión de manera incluso más segura en Android. Y es probable que en el futuro veamos más avances en este sentido, especialmente en el mercado móvil.