Ofertas en tecnología

¿Es seguro usar SMS para la autenticación de dos factores?

Altavoz inteligente Echo Dot

Los sistemas de autenticación de dos pasos (2FA) son una adición importante y esencial para cualquier perfil, desde cuentas de correo electrónico y redes sociales hasta sistemas bancarios o plataformas de comercio electrónico. El protocolo requiere un segundo código, además del correo electrónico y la contraseña, que normalmente se envía al celular del usuario como una forma de asegurarse de que es el usuario quien está ingresando, por lo que el uso de mensajes de texto termina siendo un problema. camino.

Esta, sin embargo, no es la forma más segura de hacerlo, al contrario. Ya sea por la falta de celo de las plataformas digitales con códigos numéricos o por la posibilidad de interceptación y clonación, el uso de SMS para la verificación en dos pasos ya no es una recomendación de los expertos, con pedidos incluso de Microsoft para que la gente deje de usar este método. .

¿Por qué no es seguro usar SMS para la autenticación en dos pasos?

La clonación de chips y el reenvío de llamadas o mensajes de texto hacen que los métodos para recibir códigos de verificación de dos pasos a través de SMS o llamadas sean inseguros (Imagen: Folleto/Motorola)

La falta de encriptación en la comunicación de mensajes de texto es solo una de las razones que responde a esta pregunta. Usar este formato, por supuesto, es mejor que nada, pero los SMS están sujetos a interceptación si un delincuente puede clonar el chip de su teléfono celular, por ejemplo: las llamadas telefónicas también son una opción disponible en muchas plataformas en línea, no muy seguras por el mismo razones.

Los ataques avanzados detectados recientemente por expertos en seguridad han demostrado que el desvío de llamadas se puede utilizar para robar cuentas y desviar el destino de los códigos de acceso. Lo mismo ocurre con los mensajes de texto, que pueden acabar en manos de los mismos delincuentes que tienen tu usuario y contraseña, a raíz de una fuga de datos, por ejemplo. En tales casos, es fácil eludir la autenticación en dos pasos.

Esto también se aplica a los casos de teléfonos celulares robados, en los que el delincuente logra desbloquear el dispositivo. Las aplicaciones de autenticación, por ejemplo, pueden contener capas biométricas adicionales al iniciar sesión, mientras que las aplicaciones de mensajería de texto estándar no las contienen; una vez más, quedarán tus códigos de verificación de varios pasos, a merced de los ladrones que quieran acceder a tus cuentas en redes sociales y servicios bancarios.

El descuido de las propias plataformas también puede llevar a la interceptación de contraseñas de autenticación en dos pasos, incluso en los casos en que el usuario no tenga el celular robado. En muchos de ellos, el código numérico es uno de los primeros elementos de un mensaje de texto, que también acaba permitiendo su visualización a través de la pantalla de bloqueo, aunque haya otra persona delante del smartphone y no tenga la contraseña.

Te puede interesar:  Gnome Player obtiene un nuevo aspecto destinado a vencer a Rhythmbox | Noticias
Los códigos de autenticación de dos pasos aparecen al comienzo de los mensajes SMS, para facilitar la visualización mediante notificaciones; Las medidas también pueden dar lugar a la visualización de códigos por parte de terceros, incluso con el celular bloqueado (Imagen: Captura de pantalla/Felipe Demartini/TecnoBreak)

Es una medida de facilitación, que permite al usuario ver el código de verificación directamente en una notificación, sin siquiera tener que salir de la aplicación en la que está ingresando. Sin embargo, como ocurre con muchas medidas que se centran en la comodidad, la seguridad acaba quedando un poco dejada de lado, lo que facilita que los cónyuges, los familiares o los atacantes accedan a cuentas que se encuentran en el mismo entorno que el dispositivo, por ejemplo.

Lo mismo, por cierto, también se aplica a las llamadas, ya que los teléfonos inteligentes no requieren códigos de seguridad ni biometría para que puedan ser contestadas. Si esta es la opción configurada en un servicio en línea, cualquier persona que esté cerca de su teléfono celular podría recibir la llamada y, con ella, la contraseña de autenticación de dos pasos, anulando el propósito de esta capa adicional de seguridad.

¿Cómo hacer la verificación de dos factores de forma segura?

Las aplicaciones de autenticación son ofrecidas por nombres como Google y Microsoft y son alternativas más seguras que enviar códigos a través de mensajes de texto (Imagen: Captura de pantalla/Felipe Demartini/TecnoBreak)

Cuando habilite la autenticación en dos pasos en aplicaciones o servicios en línea, prefiera usar aplicaciones dedicadas a esto. Algunas de las principales empresas tecnológicas del mundo cuentan con su propio software para este fin, que presenta códigos aleatorios que se renuevan cada minuto y con sus propios dispositivos de seguridad para evitar accesos no autorizados.

Algunas de las opciones más populares son Google Authenticator, Microsoft Authenticator y Twilio Authy. No solo cuentan con capacidades de inscripción de códigos, que se pueden guardar en un solo lugar para facilitar el acceso, sino que también se pueden integrar con los sistemas biométricos de su teléfono inteligente, lo que requiere una huella digital, rostro o contraseña para acceder.

Para los servicios que no permiten el uso de aplicaciones para la autenticación en dos pasos, un buen consejo es preferir la verificación por correo electrónico, con aplicaciones oficiales para Gmail, Outlook y otras también integradas en los sistemas biométricos del teléfono. Dicho software también debe tener cuentas configuradas con aplicaciones del tipo, de modo que no sea posible el acceso por parte de terceros.

Ocultar las vistas previas de los mensajes en la pantalla bloqueada del teléfono celular ayuda a evitar que los códigos de autenticación de dos pasos, incluso de SMS, sean obtenidos por terceros que están en posesión del dispositivo (Imagen: Captura de pantalla/Felipe Demartini/TecnoBreak)

También vale la pena deshabilitar la vista previa de los mensajes en la pantalla bloqueada de los teléfonos iOS y Android. Así, sólo podrán ser visualizados, incluso en la notificación de pantalla bloqueada, por los usuarios que pasen la verificación biométrica o de código; si alguien más tiene su celular en la mano, por ejemplo, no será posible leer el contenido de los textos.

Además, por supuesto, es importante recordar que los códigos de autenticación de dos pasos no se deben pasar a nadie. No serán solicitados por los agentes de soporte ni en registros relacionados con el servicio, siendo esta información exclusiva del propio usuario para el acceso a su propia cuenta.

Tommy Banks
Estaremos encantados de escuchar lo que piensas

Deje una respuesta

TecnoBreak | Ofertas y Reviews
Logo
Enable registration in settings - general
Shopping cart