La autoridad federal de ciberseguridad de Alemania está instando a los principales proveedores de correo web a activar la autenticación en dos pasos por defecto. La orientación proviene del Bundesamt für Sicherheit in der Informationstechnik, que publicó un nuevo documento técnico que describe las amplias brechas en la protección de cuentas de consumidores. Según la agencia, muchas funciones de autenticación solo son visibles tras navegar por varios menús, y la mayoría permanecen desactivadas a menos que los usuarios las activen activamente.
Datos recientes de encuestas citados por la BSI muestran que solo alrededor del 34% de los usuarios tienen activada la autenticación de dos factores en sus cuentas de correo electrónico. La agencia considera que la cifra es demasiado baja dada la frecuencia de incidentes de apropiación de cuentas relacionados con phishing, reutilización de credenciales y contraseñas débiles. Las cuentas de correo web siguen siendo un objetivo principal para los atacantes porque a menudo sirven como canales de recuperación para una amplia variedad de servicios en línea.
Recomendaciones de BSI para la protección por defecto
En el documento técnico, la BSI recomienda que los proveedores activen métodos de autenticación fuertes por defecto en lugar de depender de la acción del usuario. Los métodos sugeridos incluyen autenticación de dos pasos, claves de acceso y opciones de inicio de sesión biométricas. También se pide a los proveedores que se aseguren de que las reglas de contraseña cumplan con los estándares de seguridad actuales y que los mecanismos de recuperación puedan resistir intentos de los atacantes de manipular la información almacenada. La agencia destaca la necesidad de instrucciones claras, pasos previsibles y múltiples canales de recuperación.
El BSI señaló que los procesos de recuperación suelen fallar cuando los atacantes alteran datos de contacto o información vinculada. Para abordar este riesgo, la agencia aconseja a los proveedores diseñar flujos de recuperación que verifiquen la identidad mediante señales fiables y que no se basen únicamente en información de contacto desactualizada. El objetivo es evitar tanto el bloqueo de cuentas como el acceso no autorizado.
Caroline Krohn, responsable de protección digital del consumidor en la BSI, afirmó que los sistemas de correo electrónico seguros son fundamentales para la participación digital. Afirmó que las medidas de protección solo son efectivas cuando son comprensibles, interoperables y adecuadas para el uso diario.
La petición de protecciones por defecto está alineada con los esfuerzos más amplios dentro de Alemania para reforzar los requisitos de ciberseguridad en todos los servicios digitales. La BSI señaló que las características de seguridad visibles ayudan a generar confianza y a apoyar lo que los funcionarios describen como soberanía digital. Investigadores de seguridad afirmaron que las cuentas de correo comprometidas permiten a los atacantes iniciar más intrusiones restableciendo contraseñas, difundiendo spam o reutilizando las credenciales capturadas en varias plataformas.
La agencia reconoció que la activación predeterminada de la autenticación fuerte puede suponer desafíos para los proveedores que deben equilibrar la seguridad con la facilidad de uso. Algunos usuarios podrían considerar que los pasos adicionales de inicio de sesión son una molestia. Los analistas de seguridad argumentan que estas preocupaciones se ven superadas por los beneficios de elevar la protección básica para todos los usuarios. Los atacantes siguen atacando cuentas de correo electrónico porque siguen siendo valiosas puertas de entrada a datos personales y financieros.
Se anima a los consumidores a activar la autenticación de dos factores en todas las cuentas importantes, incluso antes de que los proveedores ajusten sus configuraciones predeterminadas. También se recomienda a los usuarios confirmar que la información de contacto de recuperación es precisa, vigilar las cuentas para detectar reglas de reenvío inusuales y evitar depender únicamente de códigos SMS, que pueden ser interceptados.
Las recomendaciones de la BSI servirán como punto de referencia para las discusiones en curso sobre las características de seguridad obligatorias en Europa. La respuesta de los proveedores determinará si la autenticación por defecto de dos factores se convierte en una expectativa estándar para los servicios de correo electrónico en toda la región.