La autenticación de SMS de dos factores no lo protegerá si los piratas informáticos pueden interceptar sus mensajes

SMS 2FA

En aras de la simplicidad, los expertos a menudo describen la autenticación de dos factores (2FA) como un sistema que le permite iniciar sesión en su cuenta solo si proporciona algo que sabe y algo que tiene .

Lo que sabe es obvio: la combinación correcta de nombre de usuario y contraseña. Lo que tienes , sin embargo, es una historia diferente. Con algunas excepciones, en realidad no proporcionas algo que tienes contigo. Por lo general, ingresa un código temporal que de alguna manera aparece en un dispositivo que tiene . ¿Y qué dispositivo tienes contigo en todo momento? Así es, tu teléfono móvil.

SMS y autenticación de dos factores

Enviar por mensaje de texto el código de acceso temporal a su teléfono móvil es una solución obvia. Es rápido, es económico y, por un tiempo, no hubo otras alternativas. Hasta el día de hoy, existen numerosos servicios en línea que ofrecen este tipo de autenticación de dos factores, y muchas personas lo utilizan, pensando que es lo más sensato del mundo.

Los especialistas en seguridad, sin embargo, han tenido sus dudas por un tiempo. La cuestión es que, cuando expresan sus preocupaciones, a menudo son criticados por ser demasiado paranoicos, y hay que decir que de vez en cuando, los escenarios que algunos de ellos describen no son muy plausibles, especialmente en lo que respecta a los usuarios habituales. . Sin embargo, en el caso de los SMS y la autenticación de dos factores, los temores se basan en hechos concretos y fríos sobre la tecnología en cuestión, y no deben descartarse a la ligera.

SS7: la tecnología antigua que todavía utilizamos para enviar y recibir SMS

El Sistema de Señalización No. 7 (SS7) es una colección de protocolos que hemos utilizado para, entre otras cosas, transmitir mensajes de texto desde que salieron los primeros teléfonos móviles. Los protocolos reales se desarrollaron en 1975, y como cualquier tecnología que tiene más de cuarenta años, también han demostrado tener una o dos desventajas.

Desde el punto de vista de la seguridad, las cosas han sido particularmente preocupantes, especialmente durante la última década más o menos. Los expertos han estado hablando sobre las vulnerabilidades de SS7 desde 2008, con los primeros defectos que permiten el seguimiento de las víctimas y con descubrimientos posteriores que permiten a los delincuentes reenviar e interceptar llamadas y mensajes. En teoría, solo los proveedores de telecomunicaciones deberían tener acceso a las redes SS7, pero en realidad, cualquiera puede ir a los mercados subterráneos y comprar herramientas que les permitan navegar por el flujo de información.

Tan pronto como encontraron las primeras vulnerabilidades, los expertos declararon que el SS7 era inadecuado para proteger la privacidad de los usuarios y dijeron que algo más moderno debería reemplazarlo. Aparentemente, sin embargo, los proveedores de telecomunicaciones pensaron que la amenaza no es tan grave y las llamadas de la comunidad de seguridad fueron ignoradas. En 2017, sucedió lo inevitable.

La sucursal alemana de O2-Telefónica, un proveedor europeo de servicios móviles, admitió que a algunos de sus clientes se les agotaron las cuentas bancarias después de que los delincuentes explotaran una falla en la red SS7. Primero, los hackers usaron la ingeniería social para engañar a las víctimas para que instalaran malware en sus computadoras. Armados con nombres de usuario, contraseñas y números de teléfono robados, los delincuentes intentaron iniciar sesión en las cuentas de los usuarios en medio de la noche.. Luego, interceptaron los SMS con los códigos de autenticación de dos factores y desviaron con éxito el dinero.

A raíz del incidente, más personas comenzaron a presionar por una tecnología más nueva para reemplazar SS7, pero el hecho es que, por el momento, simplemente no tenemos una alternativa. Esto, junto con la amenaza del intercambio de SIM , hace que los SMS sean un medio para transferir códigos 2FA menos que perfectos. ¿Esto significa que no debe, bajo ninguna circunstancia, usar la autenticación de dos factores por SMS?

La autenticación de dos factores por SMS es mejor que ninguna autenticación de dos factores

El SMS, especialmente cuando se usa para algo tan sensible como los códigos 2FA, tiene sus fallas. Sin embargo, hay que decir que algunas personas se dejan llevar por las advertencias. De hecho, los ataques SS7 no son solo una posibilidad teórica, sino una realidad, como pueden atestiguar los clientes de O2-Telefónica. Sin embargo, este tipo de crimen solo puede ser perpetrado por grupos sofisticados de piratería que son altamente calificados y altamente motivados. Y, contrariamente a la creencia popular, no hay muchos de los que están alrededor. La mayoría de los ciberdelincuentes que se aprovechan de los usuarios no tienen ni el conocimiento ni los recursos para llevar a cabo tal ataque. Lo mismo ocurre con el intercambio de SIM.

Y en cualquier caso, incluso si tienen la habilidad suficiente para interceptar mensajes de texto, al tener habilitada la autenticación de dos factores, al menos, les está haciendo la vida mucho más difícil. Eso siempre es algo bueno.

Debería saber ahora que hay algunas alternativas. Las aplicaciones de autenticación de dos factores como Google Authenticator generan sus códigos localmente, lo que significa que los delincuentes no pueden interceptarlos. Y si quieres estar aún más seguro, siempre puedes mirar los tokens de autenticación U2F .

Incluso estas opciones no son impecables, pero, especialmente si está protegiendo algo importante como su correo electrónico o su cuenta bancaria en línea, hacen un trabajo mucho mejor que los mensajes de texto. Verifique las opciones de 2FA para todos los servicios que utiliza, y si puede elegir algo más seguro que los mensajes de texto, asegúrese de hacerlo. Incluso si los SMS son la única opción, debe asegurarse de que 2FA esté habilitado.

En Duran
October 4, 2019
Tips
Spanish
October 4, 2019
Tips

Entradas populares

Microsoft advierte que los actores de amenazas respaldados por...

Hace 5 days

Troyano Al11 Detección de malware

Hace 11 months

Ventanas emergentes "Tu iCloud está siendo pirateado" y "Tu...

Hace 7 months

Pinaview es una aplicación de adware con todas las funciones

Hace 10 months

¿Qué es Lucky Ransomware?

Hace 7 months

Estafa por correo electrónico 'American Express - Actualice la...

Hace 6 months
Spanish
Cargando...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Casa

Productos

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Soporte

Archivos de ayuda Preguntas frecuentes Downloads Inquiries & Support

Empresa

Sobre Nosotros Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Política de privacidad Política de cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows es una marca comercial de Microsoft, registrada en EE. UU. Y otros países.
Mac, iPhone, iPad y App Store son marcas comerciales de Apple Inc., registradas en EE. UU. Y otros países.
iOS es una marca comercial registrada de Cisco Systems, Inc. y / o sus afiliadas en los Estados Unidos y algunos otros países.
Android y Google Play son marcas comerciales de Google LLC.