Siempre es una buena idea activar la verificación en dos pasos en todos los servicios a los que tienes acceso. Más allá de una contraseña fuerte, esta capa de seguridad adicional es mucho más efectiva a la hora de garantizar que solo tú puedes acceder a tus datos. La clave está en requerir dos factores para poder confirmar la identidad del usuario: algo que se sabe, algo que se tiene o algo que se es.
En el caso de la autenticación en dos pasos a través de SMS, se asume que que el control de un número de teléfono al que llegara un mensaje de texto es suficiente prueba de identidad para dar acceso a una cuenta. De la misma forma en que tener la tarjeta de débdito del banco y saber el PIN constituye los dos factores de identifiación en este caso. Sin embargo, ya se ha demostrado que el uso de SMS con este propósito es inseguro y por lo tanto no deberías utilizarlo.
Qué es la autenticación multifactor
Cualquier método en el que se de acceso a un sistema computacional solo cuando el usuario presente diferentes piezas de evidencia de identidad, es considerado autenticación multifactor (MFA).
La autenticación en dos pasos, abreviada 2FA (autenticación de dos factores) es un tipo de autenticación multifactor que requiere la combinación de dos componentes diferentes para confirmar la identidad. Tu cajero automático utiliza 2FA.
Esos factores se basan todos en la premisa de que sería muy difícil que un ente no autorizado puede hacerse con los dos al mismo tiempo. Pueden ser cosas como: un objeto (memoria USB, tarjeta, llave, etc.), algo que solo sepa el usuario (contraseña, PIN), algo que el usuario es (características biométricas como huellas, voz, patrón de tecleado, iris del ojo, etc.).
Sobre los SMS y la autenticación en dos pasos
Utilizar un dispositivo móvil como parte en la verificación de dos pasos puede resultar muy conveniente. Es algo que el usuario siempre lleva consigo, es fácil de usar y tiene conexión a internet o la red celular de llegar a ser necesaria para la autenticación. Ahora bien, utilizar los SMS para esto, no es la mejor manera de aprovecharlo.
Los mensajes de texto suelen ser el paso más débil en la verificación en dos pasos, son fáciles de interceptar y nunca debería asumirse su seguridad. Con simple ingeniería social un tercero malintencionado puede convencer a tu operador de redirigir tus mensajes a una tarjeta SIM diferente interceptando todos tus códigos de acceso. Ha pasado antes.
Aunque utilizar los SMS como un segundo paso es mejor que nada, en realidad no puede clasificarse como un factor correcto para ser considerado verificación en dos pasos. Un SMS no es ni algo que el usuario sabe, ni algo que tiene, ni algo que es. Es solo información que llega a un dispositivo que posee, siempre y cuando el operador los envíe a la persona correcta.
De hecho, a mediados de 2016, el Instituto Nacional de Estándares y Tecnología de los Estados Unidos declaró inseguros a los SMS como método de autenticación en dos pasos y dicen que deberían ser prohibidos en el futuro debido a varias preocupaciones.
Es muy fácil para cualquiera obtener un teléfono y el operador de un sitio web no tiene forma de verificar que quien recibe el código a través de SMS sea la persona correcta. No solo eso, sino que la autenticación en dos factores basada en SMS también es susceptible de ser secuestrada si el individuo utiliza un servicio VoIP.
Todo esto sin contar el grave defecto en _Signaling System Number 7_ (SS7), el protocolo que utilizan la mayoría de los operadores de telecomunicaciones para conectarnos unos a otros cuando hacemos llamadas, enviamos mensajes o compartimos datos por internet. Su infraesctructura desactualizada hace fácil que los hacekrs pueden redirigir llamadas y mensajes a sus propios dispositivos.
¿Cuáles son las alternativas?
En lugar de utilizar algo que te envía un tercero como un SMS, utiliza algo que tengas. Existen aplicaciones dedicadas como Google Authenticator, Authy, RSA SecurID, OTP Authenticator, etc.
Estas apps generan códigos que necesitarás para iniciar sesión cada vez que quieras ingresar a tus cuentas. El proceso varía un poco dependiendo de cada servicio, algunas veces deberás iniciar sesión escaneando un código QR o simplemente ingresando una clave alfanumérica.
Otra opción es utilizar códigos de copia de seguridad. Estos son muy útiles en caso de que pierdas tu teléfono y no puedas acceder a la aplicación de autenticación. Google te ofrece la creación y visualización de un grupo de códigos que puedes anotar en un lugar seguro para poder acceder a tus cuentas. Estos funcionan solo una vez.
Existen también productos físicos como el Yubikey, una llave USB que funciona como factor de autenticación adicional. Obviamente su "desventaja" es que cuestan dinero, pero son mucho más cómodos que tener que esperar e ingresar códigos manualmente cada vea que queremos iniciar sesión. Con este tipo de opciones todo lo que tenemos que hacer es conectar el dispositivo a un puerto USB para confirmar nuestra identidad.
En Genbeta | El nuevo modo de los atacantes para saltarse la verificación de dos factores de Google: mandar un SMS
Ver 10 comentarios
10 comentarios
acerswap
Yo le veo algo de bueno en cambio con respecto a los programas de autenticacion: la no-dependencia de un unico dispositivo.
Cuando tu telefono se queda sin bateria o, peor aun, debes formatearlo y no tienes cuidado para anular el autenticador pierdes el acceso a tu cuenta, aunque sea temporalmente. Con un sistema de SMS puedes tener varios telefonos de repuesto o incluso pedir a un amigo que te preste uno a tal efecto, ya que solo debes cambiar la SIM (algo que tienes) y poner tu PIN (algo que sabes) para acceder a tus SMS.
rafa.garcia
¿Cuantas posibilidades hay de que alguien escondido en una lejana y oscura habitación intercepte nuestro SMS de verificación de operaciones bancarias?, ya os lo digo yo, NINGUNA.
En España, para que alguien pueda recibir nuestro SMS primero tendría que hacerse con un duplicado de nuestra tarjeta SIM, si somos tan sumamente zoquetes como para no darnos cuenta de que nuestra SIM ha dejado de funcionar pues si, podría ser inseguro, de otra manera no lo es tanto como se pinta.
r a g n o r
¡Por fin!
Mi banco hizo lo más absurdo, y es cambiar la segunda contraseña para operar online (no para acceder, si no para confirmar acciones) por un código que te envían por SMS. "Por su seguridad".
Además de los problemas que eso conlleva (no poder hacerlo desde otro país, en lugares sin cobertura, problemas si cambias de número, etc.), la seguridad es claramente menor.
Además, para operar por teléfono sí te piden la segunda contraseña, así que el cambio no tiene ningún sentido.
Me he quejado de ello en varias ocasiones y siguen en sus trece. Imagino que el que decide estas cosas no tiene ni idea de seguridad ni se lo ha pensado un par de veces. Les encanta aplicar estas nuevas tecnologías y vendértelo como que es por tu seguridad, cuando en realidad la seguridad es mucho menor y además es menos útil.
zerohour10
Al final siempre se demuestra que todo sistema tiene pros y contras, y que no existe ningún sistema infalible.
Como siempre la prudencia y salvaguardar los datos de la mejor manera y lejos de miradas indiscretas es la mejor solución para evitar problemas.
miguelabellan nosoye
"En lugar de utilizar algo que te envía un tercero como un SMS, utiliza algo que tengas. Existen aplicaciones dedicadas como Google Authenticator".
Parece que no tienes ni idea, la app no es algo que "tengas", sino algo que "posees" como el propio móvil, haciendo analogía a los términos usados en el mismo artículo. Lo que cambia es la forma de recibir el código, que en vez de usar la desactualizada red de SMS se usa la de datos móviles (3G/4G) o mejor aún, el Wi-fi de casa.
kikke
En una experiencia personal, por culpa del Movistar de mi país, dure un par de semanas sin poder recibir sms internacionales y me quede sin poder acceder a algunos servicios desde un dispositivo que no fuese mi laptop (donde ya estaba logueado y marcado como de confianza), tuve que ponerme en contacto con el soporte técnico de un par servicios para que desactivar la verificación en dos pasos, algunos ni me respondieron otros como Box si fueron rápidos en solucionar el problema.
Por cosas como esa prefiero usar apps como la de Google para generar un código basado en tiempo y así no depender de los sms.
enriqueg192
Sugeriría hacer un paso más, como autenticación en tres pasos:
1-Usuario y contraseña
2-Recibir un código
3-Enviar otro código distinto por el medio que se recibió el código anterior