¿Por qué Google pide un número de teléfono?

El equipo de seguridad de Google habló en su momento sobre el secuestro de cuentas y cuánto cuesta. Resulta que un grupo de hackers puede cobrar hasta 750 euros por una sola cuenta. A la luz de esta información, nuestros malos hábitos de seguridad parecen aún más desconcertantes. Los ciber delincuentes llegan a embolsarse importantes sumas de dinero por robar cuentas y, sin embargo, los usuarios continúan protegiendo dichas cuentas con contraseñas débiles y reutilizadas.

Los expertos en seguridad se han intentado crear conciencia sobre la importancia de las contraseñas. Los intentos han pasado por presentar el problema en términos simples, dar ejemplos del mundo real y demostrar cómo una solución sólida de administración de contraseñas puede resolver el problema fácilmente. La lista de argumentos para una contraseña segura es prácticamente interminable, pero la gente simplemente no parece enterarse.

Incluso hay personas que pierden sus contraseñas y no son conscientes de que la mayoría de estas están guardadas en el móvil. Es muy fácil recuperar contraseñas guardadas en móviles Android.

La autenticación de dos factores: la solución de Google

Google pide numero telefono

Existe una solución: la autenticación de dos factores (2FA). Todos los servicios en línea populares ofrecen formas de autenticación de dos factores y usarlo puede mejorar drásticamente la seguridad de nuestras cuentas.

Desafortunadamente, las tasas de adopción de la autenticación de dos factores siguen siendo bastante bajas y los expertos consideran que esto se debe a que 2FA introduce demasiado de lo que se conoce en la industria como "fricción":

  • A los usuarios no les gusta la idea de tener que ingresar un código secundario cada vez que intentan iniciar sesión en sus cuentas.
  • No ven la seguridad adicional como un incentivo suficiente.
  • Piensan que los pasos adicionales son una complicación innecesaria.

De hecho, es difícil discutir el hecho de que 2FA hace que registrarse sea más difícil y, por mucho que lo intenten, los especialistas no pueden convencer a los usuarios en general de que el esfuerzo adicional vale la pena.

Sin embargo, el equipo de seguridad de Google cree haber descifrado el acertijo: hablan de un sistema 2FA que se active solo ante intentos de inicio de sesión sospechosos. La idea es que cuando estés en tu ciudad solo tendrás que usar  tu dirección de correo electrónico y tu contraseña.

Si, por otro lado, Google detecta un intento de inicio de sesión desde un dispositivo no reconocido ubicado en otro país, también te pedirá que ingreses un código temporal enviado por SMS o hagas clic en una notificación en tu dispositivo. En su mayor parte, tu experiencia no cambiará de modo significativo.

Al mismo tiempo, si un pirata informático del otro lado del mundo adivina tu contraseña, no podrá apoderarse de tu cuenta porque no tiene acceso a tu teléfono. En teoría, es un buen compromiso, y los especialistas en seguridad de Google han hecho todo lo posible para convencer a la gente de que también funcionará en la práctica.

Google intenta que la gente participe

Los miembros del equipo de seguridad de Google se asociaron con expertos de la Universidad de Nueva York y realizaron un estudio para ver qué tan bien funciona este llamado sistema de autenticación consciente de los riesgos. Los resultados ciertamente parecen prometedores.

Según el informe, si optas por utilizar códigos temporales enviados por SMS, tu cuenta resistirá prácticamente todos los ataques lanzados por bots automatizados. La característica también aumentará tus posibilidades de estar a salvo durante ataques de phishing. Si optas por tener un aviso en el dispositivo como factor de autenticación, las cifras se ven aún mejor.

Los expertos de Google esperan que, debido a que las personas no tendrán que pasar por el proceso cada vez que intenten iniciar sesión, estarán más inclinados a adoptar el sistema. Pero, ¿realmente lo harán?

Las preocupaciones de privacidad

Tal como están las cosas, las grandes empresas de Silicon Valley, incluida Google, ya tienen bastante información sobre nosotros. Los escándalos recientes nos han demostrado que, a veces, por grandes y poderosos que sean, los gigantes tecnológicos simplemente no hacen lo suficiente para proteger nuestros datos personales. De este modo, los defensores de la privacidad nos aconsejan que les proporcionemos la menor cantidad de datos personales posible.

Activar el sistema descrito anteriormente significa darle a Google tu número de teléfono personal y dejar que el gigante del motor de búsqueda lo use como un mecanismo de recuperación de cuenta.

Muchos probablemente tendrán un problema con esto y estamos seguros de que tienen  argumentos sólidos en contra de proporcionar el número de teléfono. En este caso, sin embargo, no debes olvidar que se trata de la seguridad de tu cuenta y de los datos que contiene. Antes de tomar una decisión, piensa detenidamente si tus dudas sobre la forma en que Google maneja tus datos son suficientes para compensar la falta de protección adicional que ofrece el sistema de autenticación de 2 pasos.