Por qué la autenticación basada en teléfono puede ser insegura
Conclusiones clave
- Los piratas informáticos pueden robar códigos de autenticación multifactor (MFA) basados en teléfonos, dicen los expertos.
- Se ha engañado a las compañías telefónicas para que transfieran números de teléfono para permitir que los delincuentes obtengan los códigos.
- Una forma sencilla y económica de aumentar la seguridad es utilizar la aplicación de autenticación en su teléfono.
Para mantenerse a salvo de los piratas informáticos, deje de usar códigos de autenticación multifactor (MFA) basados en teléfonos enviados a través de SMS y llamadas de voz, escribe un experto en seguridad en un nuevo análisis.
Los códigos telefónicos son vulnerables a la interceptación por parte de los piratas informáticos, escribió Alex Weinert, director de seguridad de identidad de Microsoft, en un publicación de blog reciente. Los códigos basados en texto son mejores que nada, dicen los observadores. Pero los usuarios deben reemplazar la autenticación basada en teléfonos con aplicaciones y claves de seguridad.
"Estos mecanismos se basan en redes telefónicas conmutadas públicamente (PSTN) y creo que son los menos seguros de los métodos MFA disponibles en la actualidad", escribió.
"Esa brecha solo se ampliará a medida que la adopción de MFA aumente el interés de los atacantes en romper estos métodos y los autenticadores especialmente diseñados amplíen sus ventajas de seguridad y usabilidad. Planifique ahora su cambio a la autenticación segura sin contraseña: la aplicación de autenticación proporciona una opción inmediata y en evolución ".
MFA es un método de seguridad en el que a un usuario de computadora se le otorga acceso a un sitio web o aplicación solo después de presentar con éxito dos o más pruebas a un mecanismo de autenticación. Estos códigos a menudo se envían por teléfono.
Los piratas informáticos fingen ser tú
Sin embargo, hay formas en que los piratas informáticos pueden acceder a los códigos telefónicos, dicen los observadores. En algunos casos, se ha engañado a las compañías telefónicas para que transfieran números de teléfono para permitir que los piratas informáticos obtengan los códigos.
"Los teléfonos son tan inseguros que los usuarios a menudo reciben llamadas fraudulentas desde países del tercer mundo mientras muestran números de teléfono regionales estadounidenses", Matthew Rogers, CISO de Sintaxis del proveedor de nube, dijo en una entrevista por correo electrónico. "Los teléfonos también están sujetos a ataques de intercambio de SIM, que pueden eludir fácilmente MFA a través de mensajes de texto".
Recientemente, el popular presentador de radio de la BBC Jeremy Vine fue víctima de un ataque que provocó la penetración de su cuenta de WhatsApp.
"El ataque que engañó con éxito a Vine comienza con la recepción de un mensaje SMS aparentemente no solicitado que contiene el código de autenticación de dos factores en su cuenta ", Ray Walsh, experto en privacidad de datos en el sitio de revisión de privacidad ProPrivacy, dijo en una entrevista por correo electrónico.
A continuación, la víctima recibe un mensaje directo de un contacto que afirma haberle enviado un código por accidente. Finalmente, se le pide a la víctima que reenvíe el código al pirata informático, lo que le da acceso instantáneo a la cuenta de la víctima ".
El software también puede ser un problema. "Debido a las vulnerabilidades del dispositivo, el MFA podría ser espiado por una aplicación con fugas o un dispositivo comprometido que el usuario no conoce ", George Freeman, consultor de soluciones del gobierno grupo de Soluciones de riesgo LexisNexis, dijo en una entrevista por correo electrónico.
No renuncies a tu teléfono todavía
Sin embargo, la MFA basada en texto es mejor que nada, dicen los expertos. "MFA es una de las herramientas más poderosas que tiene un usuario para proteger sus cuentas", dijo Mark Nunnikhoven, vicepresidente de investigación en la nube de empresa de ciberseguridad Trend Micro, dijo en una entrevista por correo electrónico.
"Debería estar habilitado siempre que sea posible. Si tiene la opción, use una aplicación de autenticación en su teléfono inteligente, pero al final, asegúrese de que MFA esté habilitado en cualquier forma ".
Una forma sencilla y económica de aumentar la seguridad es utilizar la aplicación de autenticación en su teléfono, Peter Robert, cofundador y director ejecutivo de Empresa de TI Expert Computer Solutions, dijo en una entrevista por correo electrónico.
"Si tiene el presupuesto y considera que la seguridad es fundamental, le animo a que evalúe las claves MFA basadas en hardware", añadió. "Para las empresas y las personas que estén preocupadas por la seguridad, también recomendaría una web oscura servicio de monitoreo para informarle si su información personal está disponible y a la venta en la oscuridad web."
Para una mayor Misión imposibleenfoque de estilo, el nuevo estándar FIDO2 con Webauthn utiliza autenticación biométrica, dice Freeman. "El usuario se conecta a un sitio financiero, ingresa un nombre de usuario, el sitio web se comunica con el dispositivo móvil [del] usuario, una aplicación segura en [el] teléfono le solicita al usuario [su] identificación facial o huella digital. Cuando tiene éxito, autentica la sesión web ", dijo.
Con tantas amenazas posibles, podría ser el momento de empezar a buscar formas más seguras de iniciar sesión en sitios web que almacenan información personal. Los piratas informáticos podrían estar al acecho en la web esperando interceptar su contraseña.