Inicio Noticias Es hora de dejar de usar SMS para la autenticación de dos...

Es hora de dejar de usar SMS para la autenticación de dos factores y es hora de que los servicios dejen de ofrecerlo

4
0

Siempre debe habilitar la autenticación de dos factores siempre que un servicio o una cuenta ofrezcan la opción. De hecho, si un servicio no ofrece 2FA, debería considerar la posibilidad de utilizar un servicio similar de un proveedor diferente. Usted es la única persona que realmente puede proteger su identidad en línea y 2FA es un gran paso para lograrlo.

Pero no todo 2FA es igual. 2FA es simplemente un segundo medio de demostrar que eres quien dices ser y hay varias formas de hacerlo. Puede usar una aplicación como Authy , usar una llave de seguridad como las que ofrece Yubico o usar la solución Titan Security de Google a través de su teléfono Pixel o una llave independiente. También puede usar SMS para que le envíen un código cuando lo necesite, aunque nunca debería hacerlo.

El problema no es la idea. Obtener un código 2FA a través de un mensaje de texto no es tan diferente de obtener uno de una aplicación de autenticación. El problema está en la ejecución. Cuando confía en SMS para esos códigos, está sujeto a cosas como un hombre en el medio de un ataque, donde alguien intercepta sus mensajes o la captura de SIM; ahí es donde alguien convence a su proveedor de que les dé una nueva tarjeta SIM usando su número. Una vez que eso sucede, ya no controla el acceso a su cuenta.

Esto tampoco es solo una teoría. Los expertos en seguridad han advertido contra el uso de SMS para la autenticación durante años y los recientes ataques a YouTube nos muestran que es algo real que le sucede a personas reales. Cuando administra un canal de YouTube popular, es un objetivo principal para los piratas informáticos de todo tipo, pero no tiene que ser famoso ni tener ningún tipo de influencia para ser víctima del robo de identidad.

También es bastante fácil culpar al usuario cada vez que ve que sucede algo como esto. Sí, un YouTuber tecnológico que conoce los entresijos de cómo funciona todo esto debería haberlo sabido mejor que usar SMS para asegurar su negocio. Pero tal vez, Google debería saberlo mejor que incluso ofrecer 2FA basado en SMS como una opción.

Google tampoco está solo aquí. La mayoría de los servicios que ofrecen 2FA como una forma de proteger una cuenta en línea (no me refiero a servicios que ni siquiera lo ofrecen) estarán felices de permitirle usar SMS para obtener un código. Las personas a cargo de la seguridad en estas empresas saben que la 2FA basada en SMS no es algo que debamos usar.

2FA sobre SMS puede ser útil si pierde su teléfono, pero aún así no vale la pena correr el riesgo.

Eliminar los códigos SMS 2FA no es algo que deba tomarse a la ligera. Las mismas cosas que lo hacen malo son también las cosas buenas: todo lo que necesita es un teléfono tonto y su número para acceder a su cuenta. No tiene que preocuparse si perdió su teléfono y no puede acceder a su correo electrónico sin un código de una aplicación o si perdió su llavero con una llave de seguridad adjunta.

Algunas cuentas podrían simplemente volcar la autenticación basada en SMS sin ningún problema. Incluso Apple pudo hacerlo, pero esto es posible porque casi nadie usa una dirección de correo electrónico de icloud.com como contacto principal y aún puede tener acceso al correo de Google o Microsoft si pierde su iPhone. Además, Apple ofrece soporte al cliente en persona donde puedes demostrar físicamente quién eres. Es importante poder comunicarse o visitar a la persona que puede ayudar.

Los expertos en seguridad seguramente pueden pensar en una mejor manera.

No puedo evitar recordar que las personas que son expertos en seguridad en la gran tecnología o en la gran banca se supone que son realmente inteligentes en todo esto. Quizás esas personas realmente inteligentes puedan encontrar una solución mejor mientras esperamos el reemplazo inevitable de 2FA a través de algo como la conciencia espacial. Diablos, podría ser tan simple como una llamada telefónica en la que proporcionas información que nadie más podría conocer. Esas personas inteligentes seguramente pueden resolver algo.

Mencioné anteriormente que depende de todos nosotros proteger y asegurar nuestra identidad en línea. Deberíamos saber todo sobre el robo de SIM y los ataques de intermediario y todas las formas en que los SMS pueden verse comprometidos . La verdad es que la mayoría de nosotros no lo hacemos y creemos que recibir un mensaje de texto es una forma segura de protegernos. Una verdad aún más triste es que tenemos que preocuparnos por eso, pero así son las cosas. No usaría un aldaba de granero para bloquear su automóvil, así que no use SMS para bloquear su identidad.

¿Te fue útil la información? ¡¡Se el primero en comentar!!

Fuente:

0 0 votes
Article Rating
Subscribe
Notify of

0 Comments
Inline Feedbacks
View all comments