Clicky

El fin de la autenticación de 2 factores basada en SMS. Sí, es insegura!

robo en la autenticación de 2 factores

Los SMS son vulnerables a la piratería informática

La autenticación de dos factores (2FA) basada en SMS ha sido declarada insegura y pronto podría ser una cosa del pasado. La autenticación de dos factores, o 2FA, añade un paso adicional introduciendo un código de acceso al azar enviado a través de un SMS o una llamada cuando ingresas a tu cuenta como una capa adicional de protección. Por ejemplo, si tienes habilitada la 2FA en Gmail, la plataforma enviará un código de seis dígitos a tu teléfono móvil cada vez que accedas a tu cuenta desde un dispositivo diferente.

Sin embargo, el Instituto Nacional de Estándares y Tecnología (NIST) de Estados Unidos ha lanzado un nuevo proyecto de su Directriz de Autenticación Digital (Digital Authentication Guideline - DAG) que dice que la autenticación de dos factores basada en SMS debe ser prohibida en el futuro debido a las preocupaciones de seguridad. Esto es lo que se lee en el párrafo pertinente del último proyecto DAG:

"Si la verificación de banda debe ser hecha mediante un mensaje SMS en una red pública de telefonía móvil, el verificador deberá comprobar que el número de teléfono pre-registrado que se utiliza está en realidad asociado con una red móvil y no con un servicio de VoIP (u otra basado en software). A continuación, envía el mensaje SMS al número de teléfono pre-registrado. Cambiar el número de teléfono pre-registrado no debe ser posible sin la autenticación de dos factores en el momento del cambio. El uso de SMS por OOB [verificación fuera de banda] es obsoleto y ya no se permitirá en las futuras versiones de esta guía".

Debido al aumento de robo de datos, la autenticación de dos factores se ha convertido en estos días en una práctica estándar. Muchos servicios están ofreciendo a sus consumidores la 2FA basada en SMS, sólo para asegurarse de que los piratas informáticos necesitarían tanto sus contraseñas como el teléfono móvil con el fin de hackear sus cuentas.

La autenticación de dos factores basada en SMS es insegura

Sin embargo, el NIST afirma que la autenticación de dos factores basada en SMS es un proceso inseguro porque es demasiado fácil para cualquier persona obtener un teléfono y el operador del sitio Web no tiene forma de verificar si la persona que recibe el código 2FA es ni siquiera el destinatario correcto.

De hecho, la autenticación de dos factores basada en SMS también es vulnerable a la piratería informática, si el individuo utiliza un servicio de voz sobre protocolo de Internet (VoIP), que ofrece servicio de llamadas de teléfono a través de una conexión de Internet de banda ancha en lugar de una red tradicional.

Dado que algunos servicios de VoIP permiten el secuestro de mensajes SMS, los hackers todavía podría tener acceso a las cuentas protegidas con la autenticación de dos factores basada en SMS.

Además, los defectos de diseño en SS7, o Sistema de Señalización Número 7, también permiten a un atacante desviar el SMS que contiene un código de acceso (OTP) a su propio dispositivo, lo que permite al atacante secuestrar cualquier servicio, incluyendo Twitter, Facebook o Gmail, que utilice SMS para enviar el código secreto para restablecer la contraseña de la cuenta.

Incluso algunos dispositivos colocan el código secreto 2FA recibido a través de SMS en la pantalla de bloqueo.

NIST sugiere la Biométrica

El proyecto DAG señala que la autenticación de dos factores mediante una aplicación segura o de datos biométricos, como un escáner de huellas digitales, todavía puede ser usada para asegurar las cuentas.

"Por lo tanto, se admite el uso de la biometría para la autenticación, con los siguientes requisitos y directrices: La biometría se utilizará con otro factor de autenticación (algo que sabes o algo que tienes)", dice el borrador.

Por otra parte, muchas empresas de tecnología como Facebook y Google ofertan un generador de códigos dentro de la aplicación como una solución alternativa para la autenticación de dos factores, que no se basa en SMS o un servicio de red.

El mes pasado, Google hizo su autenticación de dos factores mucho más fácil y más rápida mediante la introducción de un nuevo método llamado Google Prompt que utiliza una notificación de inserción simple en el que sólo hay que tocar en el teléfono móvil para aprobar las solicitudes de inicio de sesión.

Jesus_Caceres