Instan a usuarios (y empresas) a dejar de usar la autenticación multifactor basada en teléfonos (SMS)

La advertencia proviene de
Alex Weinert,
director de seguridad de identidad de Microsoft. Durante el año pasado,
Weinert ha estado abogando en nombre de Microsoft, instando a los usuarios a
adoptar y habilitar MFA para sus cuentas en línea. Citando estadísticas
internas de Microsoft, Weinert dijo en una publicación de blog el año pasado
que los usuarios que habilitaron la autenticación multifactor (MFA) terminaron
bloqueando alrededor del 99,9% de los ataques automatizados
contra sus cuentas de Microsoft.
En una publicación reciente,
Weinert dice que si los usuarios tienen que elegir entre varias soluciones
MFA, se deben mantener alejados de la MFA basada en teléfono.
El ejecutivo cita varios problemas de seguridad conocidos, no con MFA, sino
con el estado actual de las redes telefónicas.
Weinert dice que tanto los SMS como las llamadas de voz se transmiten en texto sin cifrar y pueden ser fácilmente interceptados por atacantes determinados, utilizando técnicas y herramientas como radios definidas por software, células FEMTO o servicios de intercepción SS7.
Los códigos de un solo uso basados en SMS también son atacables a través de herramientas de phishing de código abierto y fácilmente disponibles como Modlishka, CredSniper o Evilginx.
Además, se puede engañar a los empleados de la red telefónica para que transfieran números de teléfono a la tarjeta SIM de un delincuentes, en ataques conocidos como intercambio de SIM, lo que permite a los atacantes recibir códigos MFA únicos en nombre de sus víctimas.
Además de estos, las redes telefónicas también están expuestas a regulaciones cambiantes, tiempos de inactividad y problemas de rendimiento, todos los cuales afectan la disponibilidad del mecanismo MFA en general, lo que, a su vez, evita que los usuarios se autentiquen en su cuenta en momentos de urgencia.
Los SMS y las llamadas de voz son el método MFA menos seguro en la actualidad
Todos estos hacen que los SMS y la MFA basada en llamadas "sean los métodos de MFA menos seguros disponibles en la actualidad", según Weinert.
El ejecutivo de Microsoft cree que esta brecha entre SMS y MFA basada en voz solo se ampliará en el futuro. A medida que la adopción de MFA aumenta en general, con más usuarios adoptando MFA para sus cuentas, los atacantes también estarán más interesados en romper los métodos de MFA, y los SMS y MFA basados en voz se convertirán naturalmente en su objetivo principal debido a su gran adopción.
Weinert dice que los usuarios deben habilitar un mecanismo MFA más sólido para sus cuentas. Pero si los usuarios quieren lo mejor, deberían optar por las claves de seguridad de hardware, que Weinert clasificó como la mejor solución MFA en una publicación de blog que publicó el año pasado.
Esto no significa que los usuarios deban deshabilitar SMS o MFA basado en voz para sus cuentas. SMS MFA sigue siendo mucho mejor que ningún MFA.
Fuente:
ZDNet
Cita "La advertencia proviene de Alex Weinert, director de seguridad de identidad de Microsoft" pero ellos mismos continúan ofreciendo como opción de autenticación 2FA mediante el solo envío de SMS.
ResponderBorrarPorque es una recomendación. No dice que no sea seguro, explica que es menos seguro que otros métodos y que ante el avance de los atacantes se recomienda dejar de usarlos.
BorrarMuchos sistemas ofrecen características que hoy son menos seguras pero que en determinados casos especiales es necesario utilizarlas. Por ej: los routers wifi siguen ofreciendo autenticación WEP o WPA cuando se sabe que son extremadamente inseguros.