La autenticación en dos pasos basada en SMS no es suficientemente segura

La autenticación en dos pasos basada en SMS no es suficientemente segura

La autenticación en dos pasos es un sistema de seguridad alternativo a la clásica contraseña que permite proteger servicios y cuentas online con una mayor seguridad. Si lo habitual es usar tan solo una contraseña, este sistema añade un segundo pasode ahí su nombre- que, por ejemplo, puede ser la confirmación de identidad haciendo uso de un mensaje SMS. Así, el usuario puede confirmar el intento de acceso a la cuenta online usando un código enviado a su número de teléfono. Pero ¿y si se ‘secuestra’ la tarjeta SIM?

Ahí es donde reside el problema del sistema de seguridad de autenticación de dos factores, concretamente el basado en SMS. En los Estados Unidos se ha reportado un preocupante crecimiento del secuestro de tarjetas SIM. Lo que hacen los atacantes es solicitar, de manera fraudulenta, un duplicado de la tarjeta SIM de su víctima conociendo datos personales. Una vez que se consigue el duplicado, gestionado a través del operador de telecomunicaciones que ofrece servicio a la víctima, ya se pueden interceptar los SMS para conseguir este código de único uso que refuerza la seguridad de la contraseña alfanumérica típica.

Los ‘secuestros de SIM’ crecen en Estados Unidos como método para robar criptomonedas

Hay servicios online que ofrecen la autenticación en dos pasos basándose, en lugar de en mensajes SMS, en una app propia que genera un código temporal de acceso único; así, la vinculación es con respecto al dispositivo, y no con respecto al número de teléfono que, como demuestran estos casos, con relativa sencillez puede ser ‘secuestrado’ Esta alternativa evita que, como ha ocurrido en los Estados Unidos, se intercepten los mensajes SMS –que tienen otra vulnerabilidades, además de esta- y se puedan llegar a robar hasta 470.000 dólares en un único intento, gracias a un acceso no autorizado al monedero de criptomonedas.

Sobre todo los servicios bancarios y financieros son los que mayor atención deberían prestar a este tipo de vulnerabilidades. La autenticación en dos pasos aumenta la seguridad con respecto al uso de una contraseña convencional, pero también tiene sus posibilidades de mejora. Y basarse en los mensajes SMS está quedando demostrado que no es la mejor idea. En Estados Unidos, los casos cada vez son más usando esta metodología de fraude.

Archivado en

Deja tu comentario