12 nov. 2020

Instan a usuarios (y empresas) a dejar de usar la autenticación multifactor basada en teléfonos (SMS)

Microsoft insta a los usuarios a que abandonen las soluciones de autenticación multifactor (MFA) basadas en teléfono, como los códigos de un solo uso enviados a través de SMS y llamadas de voz, y en su lugar los reemplacen con tecnologías MFA más nuevas, como autenticadores basados en aplicaciones y claves de seguridad.

La advertencia proviene de Alex Weinert, director de seguridad de identidad de Microsoft. Durante el año pasado, Weinert ha estado abogando en nombre de Microsoft, instando a los usuarios a adoptar y habilitar MFA para sus cuentas en línea. Citando estadísticas internas de Microsoft, Weinert dijo en una publicación de blog el año pasado que los usuarios que habilitaron la autenticación multifactor (MFA) terminaron bloqueando alrededor del 99,9% de los ataques automatizados contra sus cuentas de Microsoft.

En una publicación reciente, Weinert dice que si los usuarios tienen que elegir entre varias soluciones MFA, se deben mantener alejados de la MFA basada en teléfono. El ejecutivo cita varios problemas de seguridad conocidos, no con MFA, sino con el estado actual de las redes telefónicas.

Weinert dice que tanto los SMS como las llamadas de voz se transmiten en texto sin cifrar y pueden ser fácilmente interceptados por atacantes determinados, utilizando técnicas y herramientas como radios definidas por software, células FEMTO o servicios de intercepción SS7.

Los códigos de un solo uso basados ​​en SMS también son atacables a través de herramientas de phishing de código abierto y fácilmente disponibles como Modlishka, CredSniper o Evilginx.

Además, se puede engañar a los empleados de la red telefónica para que transfieran números de teléfono a la tarjeta SIM de un delincuentes, en ataques conocidos como intercambio de SIM, lo que permite a los atacantes recibir códigos MFA únicos en nombre de sus víctimas.

Además de estos, las redes telefónicas también están expuestas a regulaciones cambiantes, tiempos de inactividad y problemas de rendimiento, todos los cuales afectan la disponibilidad del mecanismo MFA en general, lo que, a su vez, evita que los usuarios se autentiquen en su cuenta en momentos de urgencia.

Los SMS y las llamadas de voz son el método MFA menos seguro en la actualidad

Todos estos hacen que los SMS y la MFA basada en llamadas "sean los métodos de MFA menos seguros disponibles en la actualidad", según Weinert.

El ejecutivo de Microsoft cree que esta brecha entre SMS y MFA basada en voz solo se ampliará en el futuro. A medida que la adopción de MFA aumenta en general, con más usuarios adoptando MFA para sus cuentas, los atacantes también estarán más interesados en romper los métodos de MFA, y los SMS y MFA basados en voz se convertirán naturalmente en su objetivo principal debido a su gran adopción.

Weinert dice que los usuarios deben habilitar un mecanismo MFA más sólido para sus cuentas. Pero si los usuarios quieren lo mejor, deberían optar por las claves de seguridad de hardware, que Weinert clasificó como la mejor solución MFA en una publicación de blog que publicó el año pasado.

Esto no significa que los usuarios deban deshabilitar SMS o MFA basado en voz para sus cuentas. SMS MFA sigue siendo mucho mejor que ningún MFA. 

Fuente: ZDNet

2 comentarios:

  1. Cita "La advertencia proviene de Alex Weinert, director de seguridad de identidad de Microsoft" pero ellos mismos continúan ofreciendo como opción de autenticación 2FA mediante el solo envío de SMS.

    ResponderBorrar
    Respuestas
    1. Porque es una recomendación. No dice que no sea seguro, explica que es menos seguro que otros métodos y que ante el avance de los atacantes se recomienda dejar de usarlos.
      Muchos sistemas ofrecen características que hoy son menos seguras pero que en determinados casos especiales es necesario utilizarlas. Por ej: los routers wifi siguen ofreciendo autenticación WEP o WPA cuando se sabe que son extremadamente inseguros.

      Borrar

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!