La verificación en 2 pasos vía SMS ya no es segura

0

El Instituto Nacional de Estándares para la Tecnología (NIST) de EEUU ha lanzado un documento que analiza las tencnologías de autenticación actuales, además de emitir un veredicto algo preocupante: se recomienda abandonar lo antes posible la verificación en dos pasos basada en recepción de SMS.

Autenticación en dos factores mediante SMS

En el borrador presentado, el NIST se decanta por el uso preferente de tokens de seguridad y cifrado mediante soluciones de software, evitando a toda costa el anciano sistema del mensaje de texto.

La verificación en 2 pasos vía SMS ya no es segura

Y es que los mensajes pueden ser redirigidos hacia un servicio VOIP en lugar de utilizar el número móvil real, por lo que el NIST cree que es vulnerable a los ciberataques. Una autenticación segura no debería descansar sobre la capacidad de recibir mensajes (ya sean de email o mensajes de texto), ya que otra persona podría interceptarlos sin ser el dueño.

Incluso el modificar los números de teléfono pre-registrados con el proveedor de servicio no sería posible sin la ayuda de un sistema de autenticación “fuera de línea”, cuando se solicitase el cambio. Según comentan los creadores del borrador Special Publication 800-63B:

Algunos servicios de telefonía basados en voz sobre IP pueden entregar mensajes y llamadas corrientes, sin la posesión de un dispositivo físico, estos NO deberían ser utilizados para autenticación fuera de línea. 

Los mecanismos como las aplicaciones para móviles -que emplean protocolos seguros de comunicación- son los preferidos para comunicación fuera de línea.

Al publicar el borrador en GitHub se pretende concienciar a la gente y que esta participe en el proceso de revisión de los sistemas de autenticación por SMS actuales, incluso aportando sus propias ideas. Al hacer el proceso más transparente, el NIST confía en que más gente participe en debates que mejoren la calidad del documento final.

Mientras los mecanismos de autenticación basados en aplicaciones y token llevan bastante tiempo funcionando, el NIST se propone comprobar la seguridad de los mismos ante potenciales ataques que pudieran redireccionar los números de teléfono sin la suficiente autenticación por parte del dueño.

La verificación en 2 pasos vía SMS ya no es segura

Incluso el uso de las tecnologías biométricas se ha tratado en este documento, en el que se ha dicho de ellas que:

la biométrica DEBERÍA ser utiliza junto con algún otro factor de autenticación -como algo que tú sabes o que tienes-.

Y el aviso no debería pillarnos por sorpresa, pues estos sistemas no son imposibles de falsificar: hoy en día es posible hacer copias de huella dactilar e incluso iris sin que sean necesarios unos medios muy costosos.

Compartir.

Sobre el Autor

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.

Dejar una Respuesta

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR