Entiende los riesgos de usar el SMS para la autenticación de dos factores
Tal vez no lo sepas, pero el sistema de login en computadoras por medio del uso de contraseñas no fue diseñado para la finalidad con que lo usamos hoy en día. El invento de ese mecanismo de protección se remonta a los comienzos de la computación personal, cuando solo empresas, universidades y centros de investigación tenían computadoras. En general, un equipo de trabajo entero solo contaba con una o dos máquinas para cumplir con su labor. Entonces, con el objetivo de “separar” el trabajo de cada uno de sus amigos, el ingeniero Fernando Corbató, fallecido en 2019, inventó la metodología de las contraseñas.
A lo largo de los años, las tecnologías de protección de identidad fueron evolucionando y, actualmente, disponemos, por ejemplo, del mecanismo de autenticación de dos factores, un recurso esencial de protección a las cuentas en línea.
Cuando esa funcionalidad está habilitada, para poder entrar a una cuenta, además de informar tu contraseña, debes confirmar una segunda vez que el login es realmente legítimo. En general, el sistema solicita que informes un código adicional que, habitualmente, recibes por tu celular.
La forma más popular de recibir esos códigos de autenticación de dos factores es por medio de mensajes de texto, o sea, los famosos SMS. Lo que muchos no saben es que, aunque esa segunda confirmación vía SMS sea mejor que nada, no es totalmente segura. No es difícil que actores maliciosos logren interceptar tus SMS y, así, robar esos códigos.
Un patrón lleno de fallas
Ese peligro existe por un motivo bastante simple: los mensajes de texto no se diseñaron para ser seguros, sino para el intercambio de recados rápidos. Nadie, hace unos años, imaginaría que ese patrón se usaría para disparar una información tan crítica y sigilosa como un código de autenticación. Precisamente por esto, existen algunas fallas de las cuales se pueden aprovechar los actores maliciosos y que expertos en seguridad cibernética ya han mostrado públicamente diversas veces, en vivo, en eventos específicos del sector.
Tenemos, por ejemplo, los ataques SS7. Estos tienen ese nombre justamente por aprovecharse de fallas presentes en el protocolo de telecomunicaciones SS7. Usando algunos hardwares simples y un poco de conocimiento técnico, el atacante es capaz de interceptar la comunicación de tu operadora de telefonía móvil y leer todos los SMS que recibe tu celular. Es un ataque que demanda cierta inversión y paciencia por parte del delincuente, pero que, aun así, se emplea especialmente para perjudicar a víctimas de alto escalafón.
Todavía más sencillos son los famosos ataques de SIM Swap. En estos, el estafador entra en contacto con tu operadora de telefonía haciéndose pasar por ti (generalmente, con datos robados de una filtración cualquiera) y usa la ingeniería social para convencer al operador que lo atiende a transferir tu línea telefónica a otra tarjeta SIM. Cuando te des cuenta, el atacante ya estará recibiendo todos tus mensajes de texto y será demasiado tarde para impedir que él invada tu cuenta.
Usando aplicaciones TOTP
Hoy en día, la forma más segura de recibir códigos de autenticación de dos factores es usando aplicaciones de autenticación. Como lo sugiere ya su nombre, se trata de app que se comunican con los servidores del servicio en el cual estás intentando introducir tu login y crean códigos aleatorios, válidos solo durante unos segundos.
Además de eliminar el problema de la interceptación de SMS, esos códigos son mucho más seguros, pues usan el patrón TOTP, time-based one time password, o contraseñas de uso único basadas en tiempo. Este patrón genera una secuencia única de números y caracteres basado exclusivamente en la hora local que expirará en pocos segundos y que solo se puede usar una vez.
De esa forma, los códigos TOTP logran ser más “aleatorios” y difíciles de adivinar que tokens recibidos vía SMS. Vale la pena invertir en aplicaciones de autenticación. ¡Elige la que te resulte más amigable y aumenta la seguridad de tu autenticación!
Artículo originalmente escrito en portugués por el Equipo de Contenido de Perallis Security: Entenda os riscos de usar SMS para autenticação dupla — Perallis Security
