Las contraseñas de aplicaciones específicas son más peligrosas de lo que parecen. A pesar de su nombre, son todo menos específicos de la aplicación. Cada contraseña específica de la aplicación es más como una llave maestra que brinda acceso sin restricciones a su cuenta.
Las "contraseñas específicas de la aplicación" se denominan así para fomentar buenas practicas de seguridad - se supone que no debes reutilizarlos. Sin embargo, el nombre también puede proporcionar una falsa sensación de seguridad a muchas personas.
Por qué son necesarias las contraseñas específicas de la aplicación
RELACIONADO: ¿Qué es la autenticación de dos factores y por qué la necesito?
Autenticación de dos factores - o verificación en dos pasos, o como sea que lo llame un servicio - requiere dos cosas para iniciar sesión en su cuenta. Primero debe ingresar su contraseña y luego debe ingresar un código de uso único generado por una aplicación de teléfono inteligente, enviado por SMS o por correo electrónico.
Así es como funciona normalmente cuando inicia sesión en el sitio web de un servicio o en una aplicación compatible. Ingresa su contraseña y luego se le solicita el código de un solo uso. Ingresas el código y tu dispositivo recibe un token de OAuth que considera que la aplicación o el navegador están autenticados, o algo así; en realidad, no almacena la contraseña.
RELACIONADO: Protéjase mediante la verificación en dos pasos en estos 16 servicios web
Sin embargo, algunas aplicaciones no son compatibles con este esquema de dos pasos. Por ejemplo, supongamos que desea utilizar un cliente de correo electrónico de escritorio para acceder al correo electrónico de Gmail, Outlook.com o iCloud. Estos clientes de correo electrónico funcionan pidiéndote una contraseña y luego almacenan esa contraseña y la usan cada vez que acceden al servidor. No hay forma de ingresar un código de verificación de dos pasos en estas aplicaciones más antiguas.
Para solucionar esto, Google, Microsoft, Apple y varios otros proveedores de cuentas que ofrecen verificación en dos pasos también ofrecen la posibilidad de generar una "contraseña específica de la aplicación". Luego ingresa esta contraseña en la aplicación, por ejemplo, su cliente de correo electrónico de escritorio de su elección, y esa aplicación puede conectarse felizmente a su cuenta. Problema resuelto: las aplicaciones que no serían compatibles con la autenticación de dos pasos ahora funcionan con ella.
Espere un minuto, ¿qué acaba de pasar?
RELACIONADO: Cómo evitar quedar bloqueado cuando se usa la autenticación de dos factores
La mayoría de las personas probablemente continuarán su camino, con la certeza de que están usando la autenticación de dos factores y están a salvo. Sin embargo, esa “contraseña específica de la aplicación” es en realidad una nueva contraseña que brinda acceso a toda su cuenta, sin pasar por la autenticación de dos factores por completo. Así es como estas contraseñas específicas de la aplicación permiten que funcionen las aplicaciones más antiguas que dependen de recordar contraseñas.
Códigos de respaldo también le permiten omitir la autenticación de dos factores, pero solo se pueden usar una vez cada uno. A diferencia de los códigos de respaldo, las contraseñas específicas de la aplicación se pueden usar para siempre, o hasta que las revoque manualmente.
Por qué se denominan contraseñas de aplicaciones específicas
A menudo se denominan contraseñas específicas de la aplicación porque se supone que debe generar una nueva para cada aplicación que utilice. Es por eso que Google y otros servicios no le permiten ver estas contraseñas específicas de la aplicación una vez que las ha generado. Se muestran en el sitio web una vez, los ingresa en la aplicación y luego, idealmente, nunca los vuelve a ver. La próxima vez que necesite utilizar una aplicación de este tipo, simplemente genere una nueva contraseña de aplicación.
Esto proporciona algunas ventajas de seguridad. Cuando haya terminado con una aplicación, puede usar el botón aquí para "Revocar" una contraseña específica de la aplicación y esa contraseña ya no otorgará acceso a su cuenta. Las aplicaciones que utilicen la contraseña anterior no funcionarán. Se revocó la contraseña de la aplicación en la captura de pantalla a continuación, por eso es seguro mostrarla.
Las contraseñas específicas de la aplicación son ciertamente una gran mejora con respecto a no usar la autenticación de dos factores en absoluto. Regalar contraseñas específicas de aplicaciones es mejor que dar a cada aplicación su contraseña principal. Es más fácil revocar la contraseña de una aplicación que cambiar la contraseña principal por completo.
Los riesgos
Si tiene cinco contraseñas específicas de la aplicación generadas, existen cinco contraseñas que pueden usarse para acceder a sus cuentas.Los riesgos son claros:
- Si la contraseña se ve comprometida, podría usarse para acceder a su cuenta. Por ejemplo, supongamos que tiene configurada la autenticación de dos factores en su cuenta de Google y su computadora está infectada por software malicioso. La autenticación de dos factores normalmente protegería su cuenta, pero el malware podría recolectar contraseñas específicas de aplicaciones almacenadas en aplicaciones como Thunderbird y Pidgin. Esas contraseñas podrían usarse para acceder directamente a su cuenta.
- Alguien con acceso a su computadora podría generar una contraseña específica de la aplicación y luego retenerla, usándola para ingresar a su cuenta sin la autenticación de dos factores en el futuro. Si alguien estuviera mirando por encima de su hombro mientras generaba una contraseña específica de la aplicación y capturaba su contraseña, tendría acceso a su cuenta.
- Si proporciona una contraseña específica de la aplicación a un servicio o aplicación y esa aplicación es maliciosa, no le ha dado acceso a una sola aplicación a su cuenta; el propietario de la aplicación podría pasar la contraseña y otras personas podrían usarla con fines maliciosos .
Es posible que algunos servicios intenten restringir los inicios de sesión web con contraseñas específicas de la aplicación, pero eso es más una tontería. En última instancia, las contraseñas específicas de la aplicación brindan acceso sin restricciones a su cuenta por diseño, y no hay mucho que se pueda hacer para evitarlo.
No estamos tratando de asustarlo demasiado aquí. Pero la realidad de las contraseñas específicas de la aplicación es que no son específicas de la aplicación. Representan un riesgo para la seguridad, por lo que debe revocar las contraseñas específicas de la aplicación que ya no usa. Tenga cuidado con ellos y trátelos como las contraseñas maestras de su cuenta que son.
