Los expertos en seguridad recomiendan utilizar la autenticación de dos factores para proteger sus cuentas en línea siempre que sea posible. Muchos servicios utilizan de forma predeterminada la verificación por SMS, enviando códigos por mensaje de texto a su teléfono cuando intenta iniciar sesión. Pero los mensajes SMS tienen muchos problemas de seguridad y son la opción menos segura para la autenticación de dos factores.
Lo primero es lo primero: ¡los SMS siguen siendo mejores que ninguna autenticación de dos factores!
Relacionado: He aquí por qué debería utilizar la autenticación de dos factores (2FA)
Si bien aquí vamos a exponer los argumentos en contra de los SMS, es importante que primero dejemos en claro una cosa: usar SMS es mejor que no usar la autenticación de dos factores en absoluto.
Cuando no utiliza la autenticación de dos factores, alguien solo necesita su contraseña para iniciar sesión en su cuenta. Cuando utiliza la autenticación de dos factores con SMS, alguien deberá adquirir su contraseña y obtener acceso a sus mensajes de texto para acceder a su cuenta. Los SMS son mucho más seguros que nada.
Si SMS es su única opción, utilice SMS. Sin embargo, si desea saber por qué los expertos en seguridad recomiendan evitar los SMS y qué recomendamos en su lugar, siga leyendo.
Los intercambios de SIM permiten a los atacantes robar su número de teléfono
Así es como funciona la verificación por SMS: cuando intentas iniciar sesión, el servicio envía un mensaje de texto al número de teléfono móvil que les has proporcionado previamente. Obtienes ese código en tu teléfono y lo ingresas para iniciar sesión. Ese código solo es válido para un solo uso.
Suena razonablemente seguro. Después de todo, sólo usted tiene su número de teléfono y alguien tiene que tener su teléfono para ver el código, ¿verdad? Lamentablemente no.
Si alguien conoce su número de teléfono y puede obtener acceso a información personal como los últimos cuatro dígitos de su número de seguro social (desafortunadamente, esto será fácil de encontrar gracias a las muchas corporaciones y agencias gubernamentales que han filtrado datos de clientes). Puede comunicarse con su compañía telefónica y transferir su número de teléfono a un nuevo teléfono. Esto se conoce como “intercambio de SIM“, y es el mismo proceso que realizas cuando compras un nuevo dispositivo y le transfieres tu número de teléfono. La persona dice que eres tú, proporciona los datos personales y tu compañía de telefonía celular configura su teléfono con tu número de teléfono. Recibirán los códigos de los mensajes SMS enviados a su número de teléfono en su teléfono.
Hemos visto informes de que esto sucede. en el Reino Unido, donde los atacantes robaron el número de teléfono de una víctima y lo usaron para obtener acceso a su cuenta bancaria. El estado de Nueva York también ha prevenido sobre esta estafa.
En esencia, se trata de un ataque de ingeniería social que se basa en engañar a su compañía de telefonía celular. ¡Pero su compañía de telefonía celular no debería poder brindarle a nadie acceso a sus códigos de seguridad en primer lugar!
Los mensajes SMS se pueden interceptar de muchas maneras
También es posible espiar mensajes SMS. Los disidentes políticos y periodistas en países represivos deberán tener cuidado, ya que el gobierno podría secuestrar los mensajes SMS que se envían a través de la red telefónica. Esto ya ha sucedido en Irándonde, según se informa, piratas informáticos iraníes comprometieron varias cuentas de mensajería de Telegram al interceptar los mensajes SMS que proporcionaban acceso a esas cuentas.
Los atacantes también han abusado Problemas en SS7, el sistema de conexión utilizado en roaming, para interceptar mensajes SMS en la red y enrutarlos a otra parte. Hay muchas otras formas de interceptar mensajes, incluso mediante el uso de torres de telefonía móvil falsas. Los mensajes SMS no fueron diseñados para la seguridad y no deberían usarse para ello.
En otras palabras, un atacante sofisticado con un poco de información personal podría secuestrar su número de teléfono para obtener acceso a sus cuentas en línea y luego usar esas cuentas para intentar vaciar sus cuentas bancarias, por ejemplo. Por eso el Instituto Nacional de Estándares y Tecnología está ya no recomiendo el uso de mensajes SMS para la autenticación de dos factores.
La alternativa: genere códigos en su dispositivo
Relacionado: Cómo configurar Authy para la autenticación de dos factores (y sincronizar sus códigos entre dispositivos)
Un esquema de autenticación de dos factores que no dependa de SMS es superior, porque la compañía de telefonía celular no podrá darle a otra persona acceso a sus códigos. La opción más popular para esto es una aplicación como Autenticador de Google. Sin embargo, recomendamos Authy, ya que hace todo lo que hace Google Authenticator y más.
Aplicaciones como esta generan códigos en su dispositivo. Incluso si un atacante engañara a su compañía de telefonía celular para que transfiriera su número de teléfono a su teléfono, no podría obtener sus códigos de seguridad. Los datos necesarios para generar esos códigos permanecerían seguros en su teléfono.
Relacionado: Cómo configurar la nueva autenticación de dos factores sin código de Google
Tampoco es necesario utilizar códigos. Servicios como TwitterGoogle y Microsoft están probando la autenticación de dos factores basada en aplicaciones que le permite iniciar sesión en otro dispositivo autorizando el inicio de sesión en su aplicación en su teléfono.
También hay tokens de hardware físicos que puedes usar. Grandes empresas como Google y Dropbox ya han implementado un nuevo estándar para tokens de autenticación de dos factores basados en hardware llamado U2F. Todo esto es más seguro que depender de su compañía de telefonía celular y de una red telefónica obsoleta.
Si es posible, evite los SMS para la autenticación de dos factores. Es mejor que nada y parece conveniente, pero suele ser el esquema de autenticación de dos factores menos seguro que puedes elegir.
Desafortunadamente, algunos servicios te obligan a utilizar SMS. Si esto le preocupa, puede crear un número de teléfono de Google Voice y dárselo a servicios que requieren autenticación por SMS. Luego podrá iniciar sesión en su cuenta de Google, que puede proteger con un método de autenticación de dos factores más seguro, y ver los mensajes seguros en el sitio web o la aplicación de Google Voice. Simplemente no reenvíes mensajes de Google Voice a tu número de teléfono celular real.
