Los expertos en seguridad recomiendan utilizar la autenticación de dos factores para proteger sus cuentas en línea siempre que sea posible. Muchos servicios utilizan la verificación por SMS de forma predeterminada, enviando códigos de texto a su teléfono cuando intenta conectarse. Pero los mensajes SMS tienen muchos problemas de seguridad y son la opción menos segura para la autenticación de dos factores.
En primer lugar: ¡SMS siempre es mejor que ninguna autenticación de dos factores!
Si bien aquí describiremos los argumentos en contra de los SMS, es importante aclarar una cosa primero: es mejor usar SMS que no usar la autenticación de dos factores en absoluto.
Cuando no está utilizando la autenticación de dos factores, alguien solo necesita su contraseña para iniciar sesión en su cuenta. Al usar la autenticación de dos factores con SMS, alguien deberá adquirir su contraseña y acceder a sus mensajes de texto para acceder a su cuenta. Los SMS son mucho más seguros que nada.
Si SMS es su única opción, utilice SMS. Sin embargo, si desea saber por qué los expertos en seguridad recomiendan evitar enviar mensajes de texto y qué recomendamos en su lugar, siga leyendo.
Los intercambios de SIM permiten a los atacantes robar su número de teléfono
Así es como funciona la verificación por SMS: cuando intentas iniciar sesión, el servicio envía un mensaje de texto al número de teléfono móvil que le diste anteriormente. Obtiene este código en su teléfono y lo ingresa para iniciar sesión. Este código solo es válido para un uso.
Parece razonablemente seguro. Después de todo, solo usted tiene su número de teléfono y alguien debe tener su teléfono para ver el código, ¿verdad? Desgraciadamente no.
Si alguien conoce su número de teléfono y puede acceder a información personal, como los últimos cuatro dígitos de su número de seguro social (desafortunadamente, esto es fácil de encontrar gracias a las muchas empresas y agencias gubernamentales que han filtrado datos de clientes), pueden comunicarse con su teléfono. negocio y mueva su número de teléfono a un nuevo teléfono. Esto se conoce como «intercambio de tarjeta SIM«, y es el mismo proceso que realiza cuando compra un dispositivo nuevo y le transfiere su número de teléfono. La persona dice que es usted, proporciona los datos personales y su compañía de telefonía celular configura su número de teléfono. teléfono con su número de teléfono Recibirán los códigos de mensajes SMS enviados a su número de teléfono en su teléfono.
Hemos visto informes de lo que está pasando en el Reino Unido, donde los atacantes robaron el número de teléfono de una víctima y lo usaron para acceder a la cuenta bancaria de la víctima. El estado de Nueva York también prevenido sobre esta estafa.
Básicamente, se trata de un ataque de ingeniería social que implica engañar a su operador de telefonía móvil. ¡Pero su compañía de telefonía celular no debería poder brindarle a nadie acceso a sus códigos de seguridad en primer lugar!
Los mensajes SMS se pueden interceptar de varias formas
También es posible espiar mensajes SMS. Los disidentes políticos y los periodistas de países represivos querrán tener cuidado, ya que el gobierno podría secuestrar los mensajes SMS cuando se envíen a través de la red telefónica. Esto ya ha sucedido en Iran, donde los piratas informáticos iraníes supuestamente comprometieron varias cuentas de correo electrónico de Telegram al interceptar mensajes SMS que daban acceso a estas cuentas.
Los atacantes también abusaron problemas en SS7, el sistema de conexión utilizado para el roaming, para interceptar mensajes SMS en la red y enrutarlos a otros lugares. Hay muchas otras formas de interceptar mensajes, incluido el uso de torres de telefonía celular falsas. Los mensajes SMS no fueron diseñados por motivos de seguridad y no deben usarse para ese propósito.
En otras palabras, un atacante sofisticado con cierta información personal podría secuestrar su número de teléfono para obtener acceso a sus cuentas en línea y luego usar esas cuentas para intentar agotar sus cuentas bancarias, por ejemplo. Es por eso que el Instituto Nacional de Estándares y Tecnología ya no recomiendo utilizando mensajes SMS para la autenticación de dos factores.
La alternativa: genera códigos en tu dispositivo
Es preferible un esquema de autenticación de dos factores que no dependa de SMS, ya que la empresa de telefonía móvil no podrá permitir que otra persona acceda a sus códigos. La opción más popular para esto es una aplicación como Autenticador de Google. Sin embargo, recomendamos Authy porque hace todo lo que hace Google Authenticator y más.
Aplicaciones como esta generan códigos en su dispositivo. Incluso si un atacante engañara a su compañía de telefonía celular para que transfiriera su número de teléfono a su teléfono, no podría obtener sus códigos de seguridad. Los datos necesarios para generar estos códigos permanecerán seguros en su teléfono.
Tampoco es necesario que utilice códigos. Servicios como Twitter, Google y Microsoft están probando la autenticación de dos factores basada en aplicaciones que le permite iniciar sesión en otro dispositivo al permitir el inicio de sesión en su aplicación en su teléfono.
También hay tokens de hardware físico que puede usar. Grandes empresas como Google y Dropbox ya han implementado un nuevo estándar para tokens de autenticación de dos factores basados en hardware llamado U2F. Todo esto es más seguro que depender de su operador de telefonía móvil y una red telefónica obsoleta.
Si es posible, evite los SMS para la autenticación de dos factores. Es mejor que nada y suena conveniente, pero generalmente es el esquema de autenticación de dos factores menos seguro que puede elegir.
Desafortunadamente, algunos servicios requieren que uses SMS. Si está preocupado, puede crear un número de teléfono de Google Voice y dárselo a los servicios que requieren autenticación por SMS. Luego puede iniciar sesión en su cuenta de Google, que puede proteger con un método de autenticación de dos factores más seguro, y ver mensajes seguros en el sitio web o la aplicación de Google Voice. Simplemente no reenvíe mensajes de Google Voice a su número de teléfono celular real.