Conclusiones clave
- Los piratas informáticos pueden robar códigos de autenticación multifactor (MFA) basados en teléfonos, dicen los expertos.
- Se ha engañado a las compañías telefónicas para que transfieran números de teléfono para permitir que los delincuentes obtengan los códigos.
- Una forma sencilla y económica de aumentar la seguridad es usar la aplicación de autenticación en su teléfono.
Para mantenerse a salvo de los piratas informáticos, deje de usar códigos de autenticación multifactor (MFA) basados en el teléfono enviados a través de SMS y llamadas de voz, escribe un experto en seguridad en un nuevo análisis.
Los códigos telefónicos son vulnerables a la interceptación por parte de piratas informáticos, escribió Alex Weinert, director de seguridad de identidad de Microsoft, en una publicación de blog reciente. Los códigos basados en texto son mejores que nada, dicen los observadores. Pero los usuarios deberían reemplazar la autenticación basada en el teléfono con aplicaciones y claves de seguridad.
"Estos mecanismos se basan en redes telefónicas conmutadas públicamente (PSTN) y creo que son los métodos MFA menos seguros disponibles en la actualidad", escribió.
"Esa brecha solo se ampliará a medida que la adopción de MFA aumente el interés de los atacantes en romper estos métodos y los autenticadores especialmente diseñados amplíen sus ventajas de seguridad y facilidad de uso. Planifique su paso a la autenticación fuerte sin contraseña ahora: la aplicación de autenticación proporciona una opción de evolución."
MFA es un método de seguridad en el que a un usuario de la computadora se le otorga acceso a un sitio web o una aplicación solo después de presentar con éxito dos o más pruebas a un mecanismo de autenticación. Estos códigos a menudo se envían por teléfono.
Los piratas informáticos se hacen pasar por ti
Hay maneras en que los hackers pueden obtener acceso a los códigos telefónicos, sin embargo, dicen los observadores. En algunos casos, se ha engañado a las compañías telefónicas para que transfieran números de teléfono para permitir que los piratas informáticos obtengan los códigos.
"Los teléfonos son tan inseguros que los usuarios a menudo reciben llamadas fraudulentas desde países del tercer mundo mientras muestran números de teléfono regionales estadounidenses", dijo Matthew Rogers, CISO del proveedor de la nube Syntax, en una entrevista por correo electrónico. "Los teléfonos también están sujetos a ataques de intercambio de SIM, que pueden eludir fácilmente MFA a través de mensajes de texto".
Recientemente, el popular locutor de radio de la BBC, Jeremy Vine, fue víctima de un ataque que provocó la penetración de su cuenta de WhatsApp.
"El ataque que engañó con éxito a Vine comienza con la recepción de un mensaje SMS aparentemente no solicitado que contiene el código de autenticación de dos factores en su cuenta", dijo Ray Walsh, experto en privacidad de datos del sitio de revisión de privacidad ProPrivacy, en una entrevista por correo electrónico.
"Después de eso, la víctima recibe un mensaje directo de un contacto que afirma haberle enviado un código por accidente. Finalmente, se le pide a la víctima que reenvíe el código al hacker, lo que le da acceso instantáneo a la cuenta de la víctima.."
El software también puede ser un problema. "Debido a las vulnerabilidades del dispositivo, el MFA podría ser interceptado por una aplicación con fugas o un dispositivo comprometido del que el usuario no está al tanto", dijo George Freeman, consultor de soluciones del grupo gubernamental de LexisNexis Risk Solutions, en una entrevista por correo electrónico.
No entregues tu teléfono todavía
Sin embargo, la MFA basada en texto es mejor que nada, dicen los expertos. "MFA es una de las herramientas más poderosas que un usuario tiene para proteger sus cuentas", dijo Mark Nunnikhoven, vicepresidente de investigación en la nube de la empresa de ciberseguridad Trend Micro, en una entrevista por correo electrónico.
"Debe habilitarse siempre que sea posible. Si tiene la opción, use una aplicación de autenticación en su teléfono inteligente, pero al final, solo asegúrese de que MFA esté habilitado en cualquier forma".
Una forma simple y económica de aumentar la seguridad es usar la aplicación de autenticación en su teléfono, dijo Peter Robert, cofundador y director ejecutivo de la empresa de TI Expert Computer Solutions, en una entrevista por correo electrónico.
“Si tiene el presupuesto y considera que la seguridad es crítica, lo alentaría a evaluar las claves MFA basadas en hardware”, agregó. “Para las empresas y las personas preocupadas por la seguridad, también recomendaría una web oscura servicio de monitoreo para informarle si su información personal está disponible y a la venta en la dark web.
Para un enfoque más estilo Misión Imposible, el nuevo estándar FIDO2 con Webauthn utiliza autenticación biométrica, dice Freeman. "El usuario se conecta a un sitio financiero, ingresa un nombre de usuario, el sitio web contacta [el] dispositivo móvil del usuario, una aplicación segura en [el] teléfono solicita al usuario [su] identificación facial o huella digital. Cuando tiene éxito, luego se autentica la sesión web", dijo.
Con tantas posibles amenazas, podría ser el momento de comenzar a buscar formas más seguras de iniciar sesión en sitios web que almacenan información personal. Los piratas informáticos podrían estar al acecho en la web esperando interceptar su contraseña.
