Gobierno de EE.UU. dice que los códigos de autenticación de SMS no...

Gobierno de EE.UU. dice que los códigos de autenticación de SMS no son seguros

Compartir

Todos estamos familiarizados con los códigos de seguridad basados en mensajes de texto SMS, son utilizados como una característica de seguridad por un gran número de sitios web como redes sociales, gestores de correo electrónico y pagos en línea. Esta característica tiene como objetivo verificar su identidad después de iniciar sesión con una contraseña, mediante el envío de un mensaje de texto a su teléfono con un código que se utiliza para acceder al sitio.

Pero los códigos de seguridad por SMS no son seguros y deben evitarse. O eso es lo que ha estado diciendo en los últimos días del Instituto Nacional de Estándares y Tecnología -NIST por sus siglas en inglés-, la agencia del gobierno EE.UU. que establece las normas para todo, desde la red de energía eléctrica, los relojes atómicos, hasta los registros personales de salud.

Entonces, ¿qué hay de malo con los códigos por SMS? ¿Son realmente inseguros? Y si lo son, ¿qué podemos usar en su lugar?

Los códigos  de seguridad por SMS son realmente una forma de lo que se llama “autenticación de dos factores,” o 2FA. El objetivo de un sistema 2FA es ayudar a garantizar que la persona que inicia la sesión con la contraseña es en realidad el titular legítimo y no más que un hacker mal intencionado que ha adivinado o robado su contraseña.

Hay varios problemas con los sistemas basados en SMS que llevaron al NIST a decidir que los sistemas basados en SMS son inseguros, como los siguientes:

  • Los mensajes SMS se entregan a través de una red de Voz sobre IP (VoIP), en lugar de un operador de telefonía móvil y sólo son tan seguros como los sitios web y los sistemas del proveedor de VoIP. Si un hacker puede interferir con estos sistemas, se puede interceptar los códigos de seguridad de SMS o hacer que se vuelvan a enrutar a su propio teléfono.
  • El número de teléfono utilizado para los mensajes SMS está asociado con una tarjeta SIM (no con un teléfono) a través de una base de datos mantenida por el operador (ya sea un operador de telefonía móvil o un proveedor de VoIP). Si un hacker puede persuadir a los agentes de atención al cliente de la compañía que es el usuario y ha perdido su teléfono, el número de teléfono puede ser fácilmente vinculado por el operador a una nueva tarjeta SIM que el hacker tiene. Todos los códigos de seguridad SMS serían entonces enviados al pirata informático en lugar de al usuario legítimo.

Entonces, ¿dónde nos deja eso? Si los sistemas basados en SMS no son seguros, ¿Entonces estaremos limitados con el mal del viejo mundo inadaptado a la era digital en el que los usuarios tenemos que entrar con nada más que una contraseña, que nos hace vulnerables al robo de la contraseña?

Afortunadamente, NO. Hay otros sistemas 2FA que pueden ser seguros de usar. Algunos ejemplos de estos son:

  • Las llaves de hardware que generan códigos basados en el tiempo (HARDWARE TOKENS). Estos son los dispositivos de seguridad de tamaño de un llavero o de tarjetas de crédito que muestran un código numérico que cambia con frecuencia (por lo general cada minuto). Cada token de hardware genera una secuencia única de códigos, y un sitio web puede requerir al usuario que introduzca el código actual como prueba de que tiene la posesión física del dispositivo de protección. Estas no son sencillas de encontrar en Colombia, pero las más comunes son dispositivos USB que generan sus códigos y no todas las paginas aún están listas para soportar estos dispositivos de seguridad.
  • Las aplicaciones que generan los códigos basados en el tiempo, tales como la aplicación Google Authenticator. Estos funcionan igual que los tokens de hardware, pero en lugar de un dispositivo de seguridad, se utiliza una aplicación en el teléfono (Valve posee un sistema idéntico para el inicio de sesión en Steam en la aplicación de Android). Una vez que la aplicación está configurada, la secuencia de códigos es única, al igual que los dispositivos de seguridad de hardware.
  • Hardware de protección basados en el estándar U2F (Universal Second Factor) de FIDO Alliance, un grupo de empresas que trabajan juntos para definir nuevos métodos de autenticación. Estos tienen una llave única que permite acceso al sitio web, y desbloquear el acceso a él mediante su huella digital.
  • Los sistemas que utilizan las notificaciones push en su teléfono, tales como el sistema de Google para los teléfonos Android. Éstos envían una notificación Push al teléfono que autorizas previamente para el inicio de sesión. El teléfono no se identifica por su número de teléfono, sino por claves únicas, así que de nuevo esto no puede ser redirigido por un operador móvil.

Así que no hay razón para evitar el uso del sistema de 2FA para obtener mayor seguridad al iniciar sesión, en Colombia aún muchos usuarios aún no usan los dos factores de autenticación, y esto es un problema que nos compete a todos. Hoy día la seguridad de la identidad virtual debe tomarse en serio, mas ahora donde muchas de las páginas exigen datos muy personales.

Mientras que los códigos SMS pueden ser un riesgo, los usuarios tenemos más opciones para escoger, y si llegase a valer la pena tomar medidas extremas para proteger la información que compartimos o guardamos en la web. Pero mientras tanto y si tu información no es tan delicada al publico, la verificación por SMS puede ser una opción que podemos mantener.

Comentarios

comentarios

Compartir