El nuevo estándar de seguridad de Google es parte de su plan para eliminar definitivamente las contraseñas de internet

Google empezará a habilitar por defecto la verificación en dos pasos en las cuentas de sus usuarios, según ha anunciado la compañía este jueves, una medida que acercará al gigante tecnológico a la eliminación total de las contraseñas, según explica un responsable de producto.

La autenticación en dos pasos es una medida de seguridad sencilla que protege las cuentas de los usuarios de los piratas informáticos en caso de que les roben la contraseña, ya que requiere un segundo paso -como introducir un código enviado por SMS o abrir una aplicación- para poder acceder a la cuenta. 

Sin embargo, las empresas suelen ser reacias a imponer la autenticación de varios factores por defecto porque añade "fricción" al proceso de inicio de sesión, dificultando ligeramente el acceso de los usuarios a sus productos, lo que podría provocar una disminución del interés. Empresas como Facebook, Apple y Twitter tienen opciones de identificación multifactor, pero ninguna las tiene activadas por defecto (Google tampoco hasta el anuncio del jueves).

La ciberseguridad también tiene unas "consecuencias emocionales" que pasan "desapercibidas", advierte Selva Orejón, especialista en reputación digital

Con más de 1.500 millones de usuarios activos, la medida de Google añadirá una capa de seguridad a un enorme número de cuentas en todo el mundo, según Mark Risher, director de gestión de productos de Google para la identidad y la seguridad de los usuarios.

"Puede parecer un obstáculo. La gente tiene recuerdos de cuando esto era muy doloroso", explica Risher a Insider. "Creemos que podemos hacerlo mucho más fácil y lograr un mejor equilibrio: aumentar la seguridad, pero sin perjudicar la usabilidad".

La verificación en dos pasos por defecto se desplegará primero el jueves para los usuarios que ya hayan vinculado su cuenta de Google a su dispositivo móvil. Los usuarios pueden optar por verificar su inicio de sesión con un código SMS o a través de las "indicaciones de Google", que aparecen a través de notificaciones nativas en Android o a través de cualquier aplicación de Google descargada en un dispositivo iOS. Este aviso, que requiere un solo toque, hace que el proceso sea relativamente sencillo, afirma Risher.

Google "prefiere encarecidamente" otros métodos de verificación distintos de los SMS, añade, consciente de los recientes descubrimientos de los investigadores de seguridad que demuestran que los mensajes de texto pueden ser pirateados o falsificados a través de una variedad de exploits. Pero Risher también subraya que la verificación por SMS es mejor que nada.

Pensamiento lateral y divergente: la pieza clave para conseguir ser buenos profesionales de la ciberseguridad, según un reputado hacker español

"Hay maneras de que los SMS se vean comprometidos, pero los SMS aumentan considerablemente la protección porque suponen un paso más que los atacantes tienen que dar", afirma Risher.

Google considera que el despliegue de la verificación en dos pasos es un avance hacia un futuro "sin contraseñas" en el que los usuarios no tengan que depender en absoluto de sus credenciales de acceso. No está claro cómo sería ese futuro, pero podría implicar la utilización de un "dispositivo de confianza", como un teléfono inteligente -que utiliza identificadores biométricos, como las huellas dactilares o el reconocimiento facial, para identificar a su propietario- como clave para iniciar sesión en todas las demás cuentas.

"Las contraseñas por sí solas no son suficientes", asegura Risher. "Hemos llegado a un punto en el que las contraseñas son molestas para la gente normal y demasiado fáciles de descifrar para los piratas informáticos".

Este artículo fue publicado originalmente en BI Prime.