El Programa de Protección Avanzada de Google aumenta en gran medida la seguridad de las cuentas de los usuarios, pero las compensaciones de usabilidad pueden no merecer la pena para los usuarios medios.
Autenticación multifactor de Google
El último servicio de autenticación multifactor de Google pretende proteger a los usuarios de alto riesgo de los ataques dirigidos, pero añadirá complejidad a los inicios de sesión.
El Programa de Protección Avanzada de Google ha sido diseñado para ayudar a mantener a los usuarios a salvo de los ataques de phishing, como el spear phishing, y evita el acceso no autorizado a las cuentas de Gmail haciendo que los usuarios utilicen claves de seguridad físicas -como una YubiKey- para la autenticación.
«Los periodistas, los defensores de los derechos humanos, los defensores del medio ambiente y los activistas de la sociedad civil que trabajan en un gran número de temas delicados pueden encontrarse rápidamente en el punto de mira de adversarios con muchos recursos y gran capacidad», dijo Andrew Ford Lyons, tecnólogo de Internews, con sede en Arcata, California, en el anuncio de Google. «Para aquellos cuyo trabajo puede hacer que su perfil sea más visible, establecer esto podría considerarse un paso preventivo esencial».
El Programa de Protección Avanzada de Google podría ayudar a prevenir algunos tipos de ciberataques vistos en los últimos dos años, incluyendo los esquemas de phishing que comprometieron la cuenta de Gmail del presidente de la campaña de Hillary Clinton, John Podesta, o el ataque de phishing a Google Docs.
Según Google, el Programa de Protección Avanzada se centra en tres áreas de defensa: el uso de una clave de seguridad para la autenticación multifactor, la limitación del acceso de aplicaciones de terceros a Gmail y Google Drive, y la mitigación del acceso fraudulento a las cuentas añadiendo pasos al proceso de recuperación de cuentas.
Google advirtió que las aplicaciones móviles de terceros, como Apple Mail, Calendar y Contacts, «no admiten actualmente claves de seguridad y no podrán acceder a tus datos de Google», por lo que los usuarios del Programa de Protección Avanzada deberán utilizar por ahora las aplicaciones propias de Google.
Cómo funciona el programa de protección avanzada de Google
Google ha apoyado las claves de seguridad para la autenticación multifactor en el pasado y tiene una opción para utilizar los dispositivos móviles como un dispositivo multifactor. Pero el Programa de Protección Avanzada es mucho más estricto, porque no habrá opciones de respaldo con SMS o códigos de autenticación almacenados.
Los usuarios sólo podrán acceder a las cuentas de Google con su contraseña y sus claves de seguridad registradas. Si se pierde una clave de seguridad, la recuperación de la cuenta será más onerosa que responder a simples preguntas de seguridad, pero Google aún no ha dado detalles sobre lo que implicará dicho proceso de recuperación.
Aunque cualquiera puede inscribirse en el Programa de Protección Avanzada, Google admite en su blog que será mejor para aquellos que «estén dispuestos a cambiar un poco de comodidad por una mayor protección de sus cuentas personales de Google«.
En un principio, el Programa de Protección Avanzada requiere el uso del navegador Chrome y dos claves de seguridad compatibles con el estándar FIDO U2F: una para conectarse a un ordenador tradicional a través de un puerto USB y otra para los dispositivos móviles mediante Bluetooth.
La primera no es tan problemática, pero los usuarios deben tener cuidado con la clave de seguridad utilizada para el móvil. La página de soporte de Google sugiere la compra de la llave de seguridad Bluetooth Feitian MultiPass, que parece estar en oferta limitada en Amazon, a partir de este post, pero una llave de seguridad Bluetooth sólo es necesaria para aquellos que utilizan dispositivos iOS o un dispositivo Android que no es compatible con Near Field Communication para el acceso inalámbrico. Una llave de seguridad habilitada para NFC funcionaría para aquellos con dispositivos Android con capacidad NFC.