El phishing ha sido una pesadilla para los usuarios domésticos, pero la amenaza se multiplica en una empresa con casi 100.000 empleados. Desde que en 2017 los 85.000 empleados de Google comenzaron a usar llaves de seguridad USB, han sufrido cero ataques de phishing.

El phishing es una técnica de engaño en la que un troyano o página web se hace pasar por un servicio oficial, para robar las contraseñas. Incluso los mejores antivirus tienen problemas para frenarlo.

Las llaves de seguridad USB de Yubico, las más utilizadas (y las que usa Google), anulan el phishing al exigir un dispositivo fisíco para identificarse. En este vídeo puedes ver cómo funcionan:

La mayoría de particulares y empresas usan un método de verificación en dos pasos para acceder a sus cuentas. Se llama así porque hay que identificarse  en dos pasos: por un lado introduciendo una contraseña, y por otro, un código que te envían al móvil.

Este sistema es bastante seguro, pero ya existe malware capaz de interceptar los SMS en donde recibes el código que debes introducir en el móvil.

En 2017 Google decidió sustituir el sistema de dos factores por una llave de seguridad USB, para gestionar las cuentas de sus empleados. Desde entonces no han vuelto a sufrir ni un solo ataque de phishing.

Una llave de seguridad USB es un dispositivo similar a un pendrive. Almacena una clave encriptada, y tiene un botón que hay que pulsar cada vez que quieres identificarte, para demostrar que eres una persona física:

Las más populares son las de Yubico, que son las que utiliza Google. Se pueden comprar fácilmente en Amazon por apenas 20€.

Para poder usarlas, es necesario que la app o el servicio acepten llaves de seguridad. Google, Facebook, Dropbox, Windows, MacOS y otros muchos, ya lo hacen.

Simplemente activas la llave en el servicio en donde la quieres usar, asociándola a tu cuenta. Cuando necesitas identificarte, introduces la llave en un puerto USB del ordenador o el móvil (también hay versiones con USB Tipo C), y pulsas un botón, para demostrar que eres una persona física. No necesitas contraseñas.

La llave de seguridad USB queda asociada al dispositivo en donde la usas, así que si la pierdes o te la roban y alguien la utiliza en otro ordenador o móvil, no funcionará hasta que vuelvas a identificarte con tus claves.

Llaves de seguridad USB compatibles U2F y FIDO, en Amazon

Las llaves de seguridad de Yubico son compatibles con los estándares U2F y FIDO, los más usados con este tipo de tecnología.

Es una medida de seguridad eficiente porque exige un elemento físico, desactivando así el funcionamiento del phishing, que se conecta a las cuentas robadas de forma remota.