La autenticación de dos factores (2FA) se ha convertido en una herramienta esencial para proteger nuestras cuentas y datos. Añade una capa extra de seguridad más allá de la contraseña. Pero seamos sinceros: ¿La usas? ¿La usan tus padres, hijos o la mayoría de amigos? Es más, si lo hacen (probablemente “obligados” por su banco o empresa), ¿seguro que no han confesado alguna vez que les resulta muy molesta?
Muy probablemente. Es más, la mayoría no termina de entenderla. Y, aun así, es imprescindible y de lo mejor que tenemos hoy para protegernos. Además, tengo malas noticias: los atacantes han perfeccionado técnicas como el phishing, vishing, y todo tipo de ingeniería social que logran eludir incluso estas barreras apelando directamente a la confianza y la urgencia de las víctimas. Pueden llegar a falsificar la web donde se introduce el segundo factor o directamente pedírselo a la víctima. Como no entiende el valor del código, probablemente se lo entregue al atacante sin mayor problema.
Ante este panorama nos queda un concepto complementario: el segundo factor de verificación que, además, permite protegernos de otro tipo de estafas.
A diferencia del 2FA, donde es el sistema quien verifica la identidad, el segundo factor de verificación es un proceso activo y consciente por parte del usuario. Consiste en que, ante cualquier petición sospechosa —ya sea por correo, llamada, mensaje o cualquier otro canal—, el usuario interrumpe la comunicación y verifica por sí mismo la legitimidad de la solicitud contactando directamente a la entidad, empresa o persona que supuestamente realiza la petición. Es muy sencillo. Se trata de colgar y volver a llamar al número oficial. De verificar de dónde viene la petición una segunda vez por ti mismo. Si la llamada o el correo es legítimo, no le importará al que está al otro lado. Si no lo es, expondrá todo tipo de pegas (es urgente, que no le funciona el teléfono, que no puede recibir llamadas, que debe despacharse en ese momento, que se pierde la oportunidad, etc.). Todas esas excusas no son más que evidencias de la estafa. Nada es tan urgente que no permita ser retomado un minuto después.
Este método es especialmente útil en los escenarios en los que se reciben correos electrónicos o mensajes que simulan ser de bancos, empresas o servicios solicitando datos personales o acceso a cuentas. Llamadas telefónicas donde un supuesto empleado de banco alerta de un problema urgente y solicita información confidencial o la validación de un código SMS. También ante estafas como la de hijo en apuros (mensajes de supuestos familiares que piden dinero de forma urgente, desde números desconocidos). Además de servir para solicitudes de códigos de verificación (peticiones de compartir códigos de autenticación que llegan a tu móvil, supuestamente para validar operaciones legítimas, pero que en realidad permiten a un estafador acceder a las cuentas).
¿Cómo aplicar el segundo factor de verificación? El procedimiento es sencillo y efectivo. Cuelga o ignora la petición inicial, no sigas la conversación ni proporciones información sensible. Contacta tú directamente: busca el número oficial de la entidad o persona (por ejemplo, tu banco o la empresa de servicios) y comunícate por tus propios medios y verifica la legitimidad. Pregunta si realmente han realizado la solicitud o si existe algún problema con tu cuenta. Este simple paso rompe la cadena de manipulación emocional y urgencia que buscan los estafadores, devolviendo el control de la situación al usuario.
Ya sé que no es un método perfecto. La primera pregunta que surge es, ¿tengo que averiguar el número de cada entidad y llamar cada vez? Bueno, sería lo ideal, aunque requiere algún esfuerzo. Pero hay buenas noticias. Se puede llamar al 017 y describir la situación. El 017 es el número de teléfono estatal gratuito de ayuda en ciberseguridad gestionado por el Instituto Nacional de Ciberseguridad de España (Incibe). Está disponible para cualquier ciudadano, empresa, menor o educador que necesite resolver dudas o recibir asesoramiento sobre seguridad informática, fraudes online, privacidad, protección de dispositivos, ciberacoso, uso seguro de internet y otros riesgos digitales. Atiende tanto a consultas preventivas como reactivas y funciona todos los días del año, en un horario amplio. Ofrece soporte a través de WhatsApp, Telegram y formulario web. También es confidencial.
Por tanto, además del 2FA, debemos activar nuestro segundo factor de verificación. Cuesta poco y aporta mucho, como cualquier actitud proactiva y crítica ante una solicitud inesperada o sospechosa. Este método no depende de ninguna tecnología y es, en la práctica, una de las barreras más efectivas contra el fraude en general.
Conocemos la expresión "confía, pero verifica". El segundo factor de verificación invita precisamente a no confiar y, siempre, verificar.
