Se expusieron recientemente un millón de códigos de autenticación de dos factores
Los códigos SMS únicos se usan ampliamente como el segundo punto de control en la autenticación de dos factores (2FA) para iniciar sesión en todo, desde aplicaciones bancarias hasta cuentas de correo electrónico. Como He escrito antesSin embargo, SMS es uno de los métodos 2FA menos seguros, ya que se puede impulsar relativamente fácilmente.
Resulta que estos códigos también pueden ser visibles para otras partes además del remitente (el servicio que genera el código) y el destinatario (usted), lo que aumenta el riesgo de que sus cuentas puedan verse comprometidas por los malos actores. Como Reportado por Bloomberg BusinessWeekUn oscuro servicio de telecomunicaciones de terceros tenía acceso a al menos un millón de códigos 2FA que pasaron por su red.
Cómo se comprometieron más de un millón de códigos SMS
Una investigación dirigida por los informes de Bloomberg y Lighthouse, basados en los datos recibidos de un denunciante de la industria, revisó que más de un millón de mensajes de texto que contenían códigos de 2FA eran visibles para la compañía suiza Fink Telecom Services durante junio de 2023. Como intermediario entre las compañías que generan códigos de autenticación y los usuarios que iniciarían sesión en sus cuentas, Fink manejaron los mensajes y tuvieron acceso a su contenido.
Si bien esto es una debilidad en SMS, que no está crefriado y relativamente fácil de interceptar, el incidente de Fink es particularmente preocupante debido a la participación de la compañía en la industria de vigilancia y la supuesta infiltración de cuentas de usuarios.
Según los informes, los mensajes provenían de remitentes como Google, Meta, Amazon, Tinder, Snapchat, Binance, Signal, WhatsApp y varios bancos europeos y fueron a los destinatarios en más de 100 países.
Las empresas comúnmente usan intermediarios para enviar mensajes de texto a tasas más baratas, que son posibles gracias a grandes contratos con múltiples operadores y la propiedad o arrendamiento de los llamados «títulos globales»: direcciones de red que facilitan la comunicación entre los transportistas en diferentes países. Mantener los estándares de privacidad y seguridad cuando se trabaja con terceros se complica aún más por el hecho de que Fink (y otros similares) son a menudo subcontratistas no contratados directamente por las compañías originales.
En pocas palabras: si usa SMS como método de autenticación, no se le garantiza que nadie más tiene acceso a su código o que no lo usará para piratear sus cuentas privadas.
¿Qué piensas hasta ahora?
Alternativas 2FA más seguras
Desafortunadamente, muchas compañías continúan dependiendo de SMS para 2FA, pero siempre que sea posible, debe optar por otros métodos de autenticación de factores multifactores (MFA).
Las opciones más seguras se basan en las credenciales de WebAuthn, como la biometría o los pases de control, y se almacenan en su dispositivo o en una clave de seguridad física. Estos métodos no pasan sin cifrar a un tercero, y son muy resistentes a los ataques de phishing. Las aplicaciones de autenticador como Google Authenticator que generan códigos en su dispositivo y se actualizan cada 30 segundos también son más fuertes que SMS.
En general, cuantos más factores de autenticación se requieran para iniciar sesión, mayores serán la seguridad, aunque estos factores deben ser independientes y no todos accesibles en el mismo dispositivo.
