La autenticación de dos factores (2FA) agrega una importante capa de seguridad a sus cuentas en línea. Sin embargo, no todos los métodos son iguales. Mucha gente confía en la 2FA basada en SMS para recibir códigos de autenticación, asumiendo que es una opción segura. Desafortunadamente, los SMS están lejos de ser infalibles.
Uno de los riesgos más alarmantes del uso de SMS para la autenticación es el intercambio de SIM. Esta es una técnica mediante la cual los atacantes engañan a su proveedor de servicios móviles para que transfiera su número de teléfono a una nueva tarjeta SIM. Una vez que controlen su número, podrán interceptar cualquier mensaje SMS que se le envíe.
Funciona así: los atacantes se ponen en contacto con su operador de telefonía móvil haciéndose pasar por usted. Utilizando datos personales robados, como su dirección o número fiscal, convencen al proveedor de transferir su número de teléfono a su tarjeta SIM. Una vez que se completa esta transferencia, el atacante intercepta los mensajes de texto enviados a su número, incluidos los códigos 2FA destinados a proteger sus cuentas.
Pero los problemas no terminan ahí. Muchos de nosotros asociamos nuestros números de teléfono con varias cuentas, desde correo electrónico hasta redes sociales y aplicaciones bancarias. Un intercambio de SIM exitoso puede brindarle a un atacante acceso a múltiples cuentas vinculadas a su número de teléfono, desde correo electrónico hasta aplicaciones bancarias.
Los mensajes SMS para recibir códigos de autenticación pueden ser interceptados
Incluso si impide el intercambio de SIM, los mensajes SMS en sí no son seguros. Viajan a través de redes que pueden ser vulnerables a la interceptación. Los atacantes pueden interceptar sus mensajes SMS sin necesidad de acceder a su teléfono físico.
Esto no es sólo teórico; La piratería de SIM es un problema bien documentado. Los ciberdelincuentes e incluso algunos grupos patrocinados por el estado han utilizado las vulnerabilidades de SS7 para espiar las comunicaciones y robar información confidencial. Debido a que los SMS no están cifrados, el contenido del mensaje, incluidos los códigos de acceso de un solo uso, queda expuesto durante la transmisión.
Otra forma en que los mensajes pueden verse comprometidos es mediante aplicaciones maliciosas o software espía instalados en su dispositivo. Estos programas pueden monitorear sus mensajes SMS entrantes y reenviar códigos 2FA a atacantes sin su conocimiento.
Los SMS están vinculados a tu número de teléfono.
Otra desventaja importante de la 2FA basada en SMS es su dependencia de su número de teléfono. Su capacidad para recibir códigos está directamente vinculada a su servicio móvil. Si se encuentra en un área con mala recepción, la 2FA basada en SMS se vuelve completamente inútil, incluso si tiene Wi-Fi. A diferencia de otros métodos de autenticación que pueden funcionar a través de una conexión a Internet, los SMS requieren una señal celular estable.
Esta dependencia puede dejarlo varado en situaciones en las que necesita acceder a sus cuentas pero no puede recibir los códigos.
¿Qué deberías usar?
Cuando sea posible y en lugar de depender de SMS para 2FA, opte por aplicaciones de autenticación 2FA. Aplicaciones como Google Authenticator o Microsoft Authenticator y Authy generan contraseñas únicas basadas en tiempo directamente en su dispositivo, ofreciendo una alternativa mucho más segura y confiable a los SMS.
Sin embargo, la primera gran ventaja de las aplicaciones de autenticación es la seguridad. A diferencia de los SMS, estas aplicaciones generan códigos localmente en tu celular. Esto significa que no se transmiten a través de redes que puedan ser interceptadas o explotadas. También están protegidos por capas adicionales de seguridad: muchas aplicaciones requieren un código de acceso, una huella digital o un escaneo facial para acceder a los códigos.
Otra razón es la funcionalidad fuera de línea. Dado que los códigos se generan directamente en el dispositivo, no necesita una conexión móvil para usarlos. Ya sea que estés en un área remota sin servicio o simplemente en interiores con mala recepción, puedes acceder a tus códigos siempre que tengas tu dispositivo.
Sin embargo, utilizar una aplicación de autenticación es sencillo. Una vez que lo haya configurado, generalmente escaneando un código QR proporcionado por el sitio web durante el proceso de configuración 2FA, simplemente abra la aplicación para acceder a un código cada vez que inicie sesión.
¿Utilizas alguna aplicación para recibir códigos de autenticación que no sean SMS?
¿La luz LED continúa brillando después de apagarse? ¡Es por eso!
Una UI 7: los detalles visuales que no podrán «desentrañar»
