30 oct 2021

Por qué no es seguro usar SMS como segundo factor de autenticación

Siempre es una buena idea activar la verificación en dos pasos en todos los servicios a los que tienes acceso. Más allá de una contraseña fuerte, esta capa de seguridad adicional es mucho más efectiva a la hora de garantizar que solo tú puedes acceder a tus datos. La clave está en requerir dos factores para poder confirmar la identidad del usuario: algo que se sabe, algo que se tiene o algo que se es.

Los mensajes de texto suelen ser el paso más débil en la verificación en dos pasos, son fáciles de interceptar y nunca debería asumirse su seguridad. Con simple ingeniería social un tercero malintencionado puede convencer a tu operador de redirigir tus mensajes a una tarjeta SIM diferente interceptando todos tus códigos de acceso. Ha pasado antes.

A día de hoy se obliga, en multitud de servicios, a la utilización de un segundo factor de autenticación, siendo entre ellos el más común y cómodo el SMS. Pero este método no es tan seguro como pueda parecer, como ya se comprobó tras el incidente de seguridad de Reddit en 2018, en el que la vía principal de ataque fue interceptando los SMS de autenticación de sus empleados.

Un SMS no es algo que tienes, es algo que te envían

Este tipo de autenticación por medio de SMS conlleva riesgos, ya que puede ser superada por los atacantes de diversas y sofisticadas formas:

  • A través de ingeniería social se puede conseguir un cambio de tarjeta SIM.
  • Descarga de aplicaciones maliciosas en el dispositivo que realicen la lectura de los SMS recibidos.
  • Si el atacante consigue el dispositivo móvil, y este está con la configuración por defecto en la que las notificaciones se pueden previsualizar sin desbloquear el dispositivo, el atacante puede llegar a obtener el código SMS.

Aunque utilizar los SMS como un segundo paso es mejor que nada, en realidad no puede clasificarse como un factor correcto para ser considerado verificación en dos pasos. Un SMS no es ni algo que el usuario sabe, ni algo que tiene, ni algo que es. Es solo información que llega a un dispositivo que posee, siempre y cuando el operador los envíe a la persona correcta.

De hecho, a mediados de 2016, el Instituto Nacional de Estándares y Tecnología de los Estados Unidos declaró inseguros a los SMS como método de autenticación en dos pasos y dicen que deberían ser prohibidos en el futuro debido a varias preocupaciones.

Es muy fácil para cualquiera obtener un teléfono y el operador de un sitio web no tiene forma de verificar que quien recibe el código a través de SMS sea la persona correcta. No solo eso, sino que la autenticación en dos factores basada en SMS también es susceptible de ser secuestrada si el individuo utiliza un servicio VoIP.

Todo esto sin contar el grave defecto en Signaling System Number 7 (SS7), el protocolo que utilizan la mayoría de los operadores de telecomunicaciones para conectarnos unos a otros cuando hacemos llamadas, enviamos mensajes o compartimos datos por internet. Su infraestructura desactualizada hace fácil que los hacekrs pueden redirigir llamadas y mensajes a sus propios dispositivos.

Esto no quiere decir que haya que evitar usar el doble factor de autenticación por SMS, de hecho, es una muy buena opción, si no existe otra alternativa más segura, ya que muchos servicios aún no disponen de otros métodos de 2FA.

La alternativa más segura y que realmente podemos recomendar para mantener tus cuentas seguras, es reemplazar el segundo factor de autenticación de SMS por aplicaciones tales como Authy, Microsoft Authenticator o Google Authenticator.

Fuente: Genbeta | Hispasec

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!