Página principal » cómo » Por qué no debería usar SMS para la autenticación de dos factores (y qué usar en su lugar)

    Por qué no debería usar SMS para la autenticación de dos factores (y qué usar en su lugar)

    Los expertos en seguridad recomiendan utilizar la autenticación de dos factores para proteger sus cuentas en línea siempre que sea posible. Muchos servicios están predeterminados para la verificación de SMS, enviando códigos a través de mensajes de texto a su teléfono cuando intenta iniciar sesión. Pero los mensajes SMS tienen muchos problemas de seguridad y son la opción menos segura para la autenticación de dos factores..

    Lo primero es lo primero: el SMS es aún mejor que la autenticación de dos factores en absoluto!

    Si bien vamos a presentar el caso contra SMS aquí, es importante que primero aclaremos una cosa: usar SMS es mejor que no usar la autenticación de dos factores en absoluto..

    Cuando no usa la autenticación de dos factores, alguien solo necesita su contraseña para iniciar sesión en su cuenta. Cuando use la autenticación de dos factores con SMS, alguien necesitará adquirir su contraseña y acceder a sus mensajes de texto para obtener acceso a su cuenta. SMS es mucho más seguro que nada en absoluto.

    Si SMS es su única opción, utilice SMS. Sin embargo, si desea saber por qué los expertos en seguridad recomiendan evitar SMS y lo que recomendamos en su lugar, siga leyendo..

    Los intercambios de SIM permiten a los atacantes robar su número de teléfono

    A continuación le indicamos cómo funciona la verificación por SMS: cuando intenta iniciar sesión, el servicio envía un mensaje de texto al número de teléfono móvil que les proporcionó anteriormente. Obtiene ese código en su teléfono y lo ingresa para iniciar sesión. Ese código solo es válido para un solo uso.

    Suena razonablemente seguro. Después de todo, solo usted tiene su número de teléfono y alguien tiene que tener su teléfono para ver el código, ¿verdad? Lamentablemente no.

    Si alguien conoce su número de teléfono y puede obtener acceso a información personal como los últimos cuatro dígitos de su número de seguridad social, desafortunadamente, esto es fácil de encontrar gracias a las muchas corporaciones y agencias gubernamentales que han filtrado datos de clientes; pueden comunicarse con su teléfono y mueva su número de teléfono a un nuevo teléfono. Esto se conoce como un "intercambio de SIM" y es el mismo proceso que realiza cuando compra un nuevo dispositivo y le transfiere su número de teléfono. La persona dice que es usted, proporciona los datos personales y su compañía de telefonía celular configura su teléfono con su número de teléfono. Recibirán los códigos de los mensajes SMS enviados a su número de teléfono en su teléfono..

    Hemos visto informes de que esto sucedió en el Reino Unido, donde los atacantes robaron el número de teléfono de una víctima y lo usaron para obtener acceso a la cuenta bancaria de la víctima. Estado de Nueva York también ha advertido sobre esta estafa.

    En esencia, este es un ataque de ingeniería social que se basa en engañar a su compañía de telefonía celular. Pero, en primer lugar, su compañía de telefonía celular no debería poder proporcionarle a alguien el acceso a sus códigos de seguridad.!

    Los mensajes SMS pueden ser interceptados de muchas maneras

    También es posible husmear en mensajes SMS. Los disidentes políticos y los periodistas en los países represivos querrán tener cuidado, ya que el gobierno podría secuestrar los mensajes SMS a medida que se envían a través de la red telefónica. Esto ya sucedió en Irán, donde los piratas informáticos iraníes pusieron en peligro varias cuentas de mensajería de Telegram al interceptar los mensajes SMS que brindaban acceso a esas cuentas..

    Los atacantes también han abusado de los problemas en SS7, el sistema de conexión usado para roaming, para interceptar mensajes SMS en la red y enrutarlos a otros lugares. Hay muchas otras formas en que los mensajes pueden ser interceptados, incluso mediante el uso de torres de teléfonos celulares falsos. Los mensajes SMS no fueron diseñados para la seguridad y no deberían usarse para ellos.

    En otras palabras, un atacante sofisticado con un poco de información personal podría secuestrar su número de teléfono para obtener acceso a sus cuentas en línea y luego usar esas cuentas para intentar drenar sus cuentas bancarias, por ejemplo. Es por eso que el Instituto Nacional de Estándares y Tecnología ya no recomienda el uso de mensajes SMS para la autenticación de dos factores..

    La alternativa: generar códigos en su dispositivo

    Un esquema de autenticación de dos factores que no se basa en SMS es superior, porque la compañía de telefonía celular no podrá otorgarle a otra persona acceso a sus códigos. La opción más popular para esto es una aplicación como Google Authenticator. Sin embargo, recomendamos Authy, ya que hace todo lo que hace Google Authenticator y más..

    Aplicaciones como esta generan códigos en tu dispositivo. Incluso si un atacante engañara a su compañía de telefonía celular para mover su número de teléfono a su teléfono, no podrían obtener sus códigos de seguridad. Los datos necesarios para generar esos códigos permanecerán de manera segura en su teléfono.

     

    Usted no tiene que usar códigos, tampoco. Servicios como Twitter, Google y Microsoft están probando la autenticación de dos factores basada en la aplicación que le permite iniciar sesión en otro dispositivo autorizando el inicio de sesión en su aplicación en su teléfono.

    También hay tokens físicos de hardware que puedes usar. Las grandes empresas como Google y Dropbox ya han implementado un nuevo estándar para tokens de autenticación de dos factores basados ​​en hardware llamado U2F. Todos estos son más seguros que confiar en su compañía de telefonía celular y la red telefónica obsoleta.

    Si es posible, evite SMS para la autenticación de dos factores. Es mejor que nada y parece conveniente, pero generalmente es el esquema de autenticación de dos factores menos seguro que puede elegir.

    Desafortunadamente, algunos servicios te obligan a usar SMS. Si está preocupado por esto, puede crear un número de teléfono de Google Voice y brindarlo a los servicios que requieren autenticación por SMS. Luego puede iniciar sesión en su cuenta de Google, que puede proteger con un método de autenticación de dos factores más seguro, y ver los mensajes seguros en el sitio web o aplicación de Google Voice. Simplemente no reenvíe mensajes de Google Voice a su número de teléfono celular real.