Doble Factor de Autenticación vs LOPD

Viernes noche. Un adolescente le pide el coche a su padre. “Sólo voy hasta el telepizza y vuelvo”. El padre frunce el ceño. “Es que, papá, ir en tu coche es mucho más seguro que en la bici”. Cierto. Pero no se fía.

Doble Factor de Autenticación

Los servicios online y redes sociales más populares (gmail, facebook, linkedin, twitter) nos piden, para nuestra seguridad, que les facilitemos nuestro número de móvil para que sirva de “Doble Factor de Autenticación”.

De este modo, si alguien llega a hacerse con la contraseña de nuestro correo electrónico, y pretende cambiarla, no podrá hacerlo sin añadir un código de seguridad enviado a nuestro teléfono personal, igual que sucede al hacer una transferencia bancaria online.

La Virtud

Este sistema aporta sin duda mucha mayor seguridad a nuestra privacidad.

Es muy útil para prevenir la usurpación de nuestra personalidad electrónica: piense que si un tercero llega a controlar nuestra cuenta de gmail, puede expulsarnos de la misma simplemente cambiando su contraseña. Después puede, a través de la propia cuenta de correo, establecer y confirmar nuevas contraseñas para el resto de nuestras cuentas en servicios online.

El Problema

El problema es que estamos entregando voluntariamente otro de los datos más codiciados para el mercado de perfiles electrónicos: cuenta de correo electrónico, número de móvil, número de tarjeta de crédito.

Lo cierto es que ellos suelen haber captado ya nuestro número de móvil.

Google en su Política de privacidad, reconoce que detecta automáticamente y añade a nuestros perfiles, entre otras muchas cosas, el número de identificación del smartphone, y número de móvil de la línea utilizada para conectarnos.

Pero mediante este sistema, nosotros «validamos» personalmente ese dato, de modo que lo puedan utilizar conforme a su política de servicio y privacidad.

Más preocupante es la declaración de Microsoft, en la Declaración de Privacidad de Windows 10 advirtiendo de que utiliza nuestro sistema operativo para almacenar los datos de nuestra tarjeta de crédito, incluido el ccv (la clave estampada en el reverso) (¡!).

Microsoft debería añadir, para tranquilidad del pobre usuario, que únicamente utilizará estos datos para gestionar pagos que hagamos a la propia Microsoft.

Conclusión

El sistema de Doble Factor de Autenticación es una buena idea, pero debería acompañarse de la garantía expresa -por parte de Facebook, Twitter, Linkedin, etc…- de limitarse el tratamiento o utilización de mi número de móvil únicamente para incrementar la seguridad de mi cuenta. De modo que no puedan añadir ese dato a mi perfil y cederlo sin más a tercero.

En nuestra historia, imaginen que el hijo adolescente dijera “Papá, utilizaré tu coche para incrementar mi seguridad en la conducción… entre otros fines…”

En https://twofactorauth.org/ se enumeran los principales servicios online, clasificados por categorías y con información sobre si cuentan con doble factor de autenticación, y en qué consiste (sms, llamada, email, etc…).

Jorge García. Abogado en Valladolid

Coménteme

Sígame en @jgarciaherrero

Contácteme en jorge.garcia.herrero@gmail.com