Skip to main content

Por qué debes evitar la autenticación por SMS o llamadas

Un director de Microsoft está decidido a hacer todo lo que esté a su alcance para que las empresas y los usuarios alejen de los mecanismos de autenticación multifactor (MFA, por sus siglas en inglés) por mensajes de texto SMS y llamadas de voz.

Según Alex Weinert, director de seguridad de identidad de Microsoft, ambos mecanismos basados en redes telefónicas conmutadas públicamente (PSTN, por sus siglas en inglés) “son los menos seguros de los métodos MFA disponibles en la actualidad”.

«Esa brecha solo se ampliará a medida que la adopción de MFA aumente el interés de los atacantes en romper estos métodos y los autenticadores especialmente diseñados amplíen sus ventajas de seguridad y usabilidad”, explicó en un blog.

Según Weinert, la tasa de riesgo de las cuentas que utilizan cualquier mecanismo de autenticación multifactor es menos de menos del 0.1 por ciento. “El uso de cualquier cosa más allá de la contraseña aumenta significativamente los costos para los atacantes”, sostuvo.

Cuáles son los peligros

El ejecutivo detalló seis peligros que esconden los sistemas de  autenticación multifactor  basados en SMS o llamadas de voz:

  • No son adaptables: debido a que muchos dispositivos dependen de la recepción de mensajes PSTN, el formato de los mensajes es limitado, por lo que las oportunidades para innovar en usabilidad y seguridad son restringidas.
  • Sin cifrado: cuando se desarrollaron los protocolos de voz y SMS, se diseñaron sin cifrado. Esto significa que cualquier persona que pueda acceder a la red de conmutación o dentro del alcance de radio de un dispositivo puede interceptar las señales. Se trata de una vulnerabilidad sustancial y única en los sistemas PSTN.
  • Ataques de ingeniería social: los sistemas PSTN se basan una infraestructura de atención al cliente, con agentes “vulnerables al encanto, la coerción, el soborno o la extorsión”, según el ejecutivo. Si estos esfuerzos de ingeniería social tienen éxito, el soporte al cliente puede brindar acceso al canal de SMS o voz.
  • Dependientes del operador móvil: no son 100 por ciento confiables y los informes no son 100 por ciento consistentes. Depende de la región y del operador, por lo que la ruta que siga el mensaje puede influir en el tiempo que tarda en llegar… si es que recibe.
  • Regulaciones cambiantes: debido al aumento del spam en los formatos de SMS, los reguladores han exigido medidas para evitarlos. Estas regulaciones cambian rápidamente y son inconsistentes de una región a otra, advierte.
  • Contexto limitado: los mensajes de texto o voz limitan la cantidad de información que se puede comunicar: los SMS tienen 160 caracteres, 70 si no se usa GSM. De esta forma, restringen nuestra capacidad para entregar el contexto del pedido de autenticación.

Recomendaciones del editor

Rodrigo Orellana
Ex escritor de Digital Trends en Español
Twitter, Facebook, Instagram, WhatsApp, Telegram, criptomonedas, metaverso, son algunos de los temas que aborda el periodista…
Aparece malware de Android que roba código de autenticación
autenticacion dos pasos android

Android sigue estando a merced de los virus informáticos. Así lo estableció un informe presentado por  la empresa de seguridad Threatfabric, que indica que la variante del troyano bancario cerberus está desde enero de 2020 robando credenciales de autenticación de dos factores de Google.

“Abusando de los privilegios de accesibilidad, el troyano ahora también puede robar códigos 2FA de la aplicación Google Authenticator. Cuando la aplicación se está ejecutando, el troyano puede obtener el contenido de la interfaz y puede enviarlo al servidor C2 [comando y control - ed]. Una vez más, podemos deducir que esta funcionalidad se utilizará para omitir los servicios de autenticación que dependen de los códigos OTP ", se lee en un extracto del informe.

Leer más
Todo lo que debes saber sobre la guerra contra robocalls y llamadas fraudulentas
Proyecto que combate las robocalls se transforma en ley federal
fcc cierra operadores robocalls fraude telefonico

Las llamadas de telemercadeo son molestas, pero los sistemas automatizados de robocalls, o llamadas automáticas pregrabadas, pueden ser aún más irritantes. Para lidiar con ese creciente problema, tanto la Comisión Federal de Comunicaciones (FCC) como la la Comisión Federal de Comercio de los Estados Unidos (FTC) han impulsado una serie de proyectos durante varios meses. Ya se pueden ver algunos resultados de su trabajo, y aquí te contamos cuáles son las últimas novedades y cómo se beneficiarán los usuarios. Esto es todo lo que deberías saber sobre la guerra contra robocalls, fraudes telefónicos, spoofing y llamadas fraudulentas.
QUÉ PUEDES HACER PARA PROTEGERTE:
Aunque agencias como la FTC y la FCC están tomando medidas enérgicas contra los estafadores, nada parece detenerlos y las estadísticas así lo demuestran, y desafortunadamente, no hay mucho que puedes hacer para detener completamente las llamadas fraudulentas. Sin embargo, sí existen algunos pasos a seguir para protegerte y evitar ser una víctima. A continuación te damos algunas sugerencias para tomar en cuenta.

Para empezar, puedes poner tu número en el Registro de No Llamar de la FTC, que aparentemente impide que te llamen telemarketers, pero solo las empresas legítimas lo respetarán. Además, toma en cuenta que los estafadores ya están infringiendo la ley, y muchos de ellos tienen su sede fuera de los Estados Unidos, por lo que probablemente no les importan las sanciones por violar la lista de “No Llamar”.

Leer más
Qué es la tecnología Blockchain y por qué debería interesarte
Llegan más productos con Blockchain. Pero, ¿de qué se trata esta tecnología?
la tecnología Blockchain

La tecnología Blockchain se asocia comúnmente con Bitcoin y otras criptomonedas, pero esto es solo la punta del iceberg. Algunas personas piensan que esta cadena de bloques  podría terminar transformando a una serie de industrias e instituciones importantes, desde la atención en la salud pública hasta la política.

Un claro ejemplo en el campo de los teléfonos inteligentes llega de la mano de HTC, que lanzó un teléfono específico para usuarios de criptomonedas. Con el nombre de Exodus 1S, este dispositivo es la segunda generación de celulares lanzada por la compañía taiwanesa, pero no destaca por sus características técnicas sino porque, a diferencia del anterior, es capaz de ejecutar sus sistema de pagos con Bitcoin.

Leer más