MFA
7 artículos con esta etiqueta
Seguridad para la era de la IA: los fundamentos que blindar ya (lista de prioridades)
La IA sobre todo amplifica los ataques sobre debilidades EXISTENTES (CVE sin parchear, contraseñas reutilizadas, secretos expuestos) más que inventar nuevas — encontradas de forma automática, rápida y a escala. Así que la mejor preparación es blindar los fundamentos en el orden correcto: parcheo de CVE + monitoreo de dependencias, eliminar la reutilización + MFA, quitar secretos expuestos, mínimo privilegio, reducir la superficie pública, registros/IOC, copias de seguridad.
¿Qué es el phishing? Los tipos de ataque y defensas más seguras que 'saber detectarlo'
El phishing suplanta a una parte de confianza para llevarte a una página de inicio de sesión falsa y robar credenciales o datos (o ejecutar malware). Apunta al juicio humano en lugar de a un fallo de software, y es la vía de entrada número uno del ransomware y las brechas. El phishing moderno con atacante en el medio (AiTM) retransmite incluso códigos de un solo uso al sitio real en tiempo real, así que el MFA por SMS/aplicación puede ser derrotado. La defensa segura no es 'detectarlo' sino mecanismos: MFA resistente al phishing ligado al dominio (passkeys/llaves de seguridad), ir al sitio oficial directamente en lugar de hacer clic en enlaces, y autenticación de correo (SPF/DKIM/DMARC).
Elegir bien la MFA: qué significa «resistente al phishing» y por qué el SMS es débil
La MFA es una segunda cerradura para que una contraseña filtrada por sí sola no permita entrar — pero lo que actives cambia su fortaleza en tres niveles. Los códigos por SMS/correo caen ante el phishing por relay y el SIM-swap; las apps de autenticación (TOTP) están en medio; las passkeys/llaves de seguridad (FIDO2) no pueden presentarse a un sitio falso en absoluto — eso es resistencia al phishing. Máxima prioridad: pon MFA resistente al phishing en las llaves del reino (correo, dominio, pagos). Guardar los códigos de recuperación y tener un factor de respaldo completan la configuración.
¿Son seguros los gestores de contraseñas? Cómo funcionan, nube vs local y cómo elegir
Un gestor de contraseñas es más seguro que reutilizar o guardar en texto plano. La clave es el cifrado de conocimiento cero: tu contraseña maestra descifra la bóveda solo en tu dispositivo, el proveedor solo guarda texto cifrado, así que una brecha del proveedor no expone tus contraseñas. El verdadero punto único es tu contraseña maestra más el MFA de la bóveda. Elige nube (Bitwarden/1Password) o local (KeePass) según el uso.
La base de seguridad para desarrolladores independientes y pequeños operadores: el conjunto estándar completo
La base no es 'todo igual de importante'. El orden de prioridad de este sitio: 1) llaves del reino (MFA, dominio, correo), 2) secretos y código, 3) la propia app, 4) parchear, detectar, recuperar. Con tiempo finito, complétala de arriba abajo. La mayoría de las brechas graves no vienen de ataques novedosos sino de un hueco en esta base.
Seguridad básica del smartphone — proteger el dispositivo que reúne tus claves, tu bóveda y tu identidad en uno
Un teléfono concentra el 2FA, el correo, la banca y la identidad en un único punto de fallo. La defensa real no es una app de seguridad: (1) un bloqueo fuerte + autobloqueo corto (el código es la clave de cifrado); (2) actualizaciones automáticas del SO/apps; (3) tienda oficial + revisión de permisos; (4) configurar de antemano el bloqueo/borrado remoto; (5) mantener un respaldo de tu 2FA. iOS/Android ya cifran y aíslan por defecto.
¿Es seguro guardar tus contraseñas en Google Drive? Cómo conservarlas correctamente
Guardar contraseñas en un Documento/Hoja de Google en texto plano es peligroso: una cuenta de Google se convierte en el punto único de fallo de cada contraseña — la toma de la cuenta, una app conectada maliciosa o el phishing las filtran todas de golpe. La solución es un gestor de contraseñas dedicado (el contenido sigue cifrado incluso al sincronizar). Si debes usar Drive, guarda solo un archivo de bóveda cifrado y pon MFA resistente al phishing en la cuenta.