9th - Ago - 2016

La desaprobación propuesta por el NIST de SMS para la autenticación de 2 factores (2FA) puede llevar a que el 72 por ciento de los estadounidenses no adopten para nada la 2FA

Graphic of profiles of two people with a lightbulb above them

Me fui de vacaciones hace un par de semanas y volví a trabajar a un mundo aparentemente en pánico por el borrador de las Directrices del NIST sobre Autenticación Digital y su desaprobación de SMS para el uso en la autenticación de 2 factores (2FA). Después de leer innumerables artículos estaba decepcionado por la aparente histeria de los medios con su razonamiento circular y falta de investigación fundamental necesaria para resumir los verdaderos riesgos e implicaciones de esta propuesta para las empresas y consumidores. Los riesgos de utilizar SMS en 2FA identificados por el NIST no son ampliamente entendidos y me habría gustado ver más énfasis en lo que se puede hacer para mitigar estos riesgos sin asumir que SMS en algún momento se retirarán de 2FA completamente.

Es interesante que mucha de la publicidad y atención se ha puesto en SMS, pero muchas (si no todas) de los puntos débiles con SMS son idénticos para la voz y como tal desaprobar SMS llevaría probablemente también a la desaprobación de la voz con el tiempo.

El crédito debe ir a John Fontana por La identidad importa (ZDNet), Violet Blue (Engadget) y Michelle Maisto (eWEEK) por al menos calmar la histeria y aportar algo de claridad al debate. El crédito también debe ir a Paul Grassi del NIST por escribir un blog resumiendo las razones de su borrador de decisión que ayudó a calmar los nervios de muchos.

En este blog, argumentaré que aunque SMS tiene algunos puntos débiles, es el único tipo de autenticación fuera de banda con la ubicuidad y conveniencia que pudo haber impulsado la adopción de 2FA por los usuarios corrientes no técnicos tan rápido durante los últimos años. Creo que desaprobar SMS ahora llevará a una adopción más lenta de 2FA en todos los tipos de autenticador e inhibirá lograr el objetivo general del NIST, que es animar a las empresas a utilizar siempre 2FA. La facilidad de uso y comodidad es con diferencia el aspecto más importante de la adopción de la autenticación de 2 factores y SMS lidera la manada en cuanto a la adopción general por este motivo.

Como sabemos por historias recientes en los medios la dirección de correo electrónico fundamental combinada con la combinaciones de contraseñas (secreto memorizado) son sumamente débiles. Añadir 2FA (independientemente del tipo de autenticador) aumentar considerablemente la seguridad; así que no es ninguna sorpresa que el NIST quisiera ver que esto llegue a ser una realidad.

En este blog, intentaré analizar el debate hacia algo que esté mejor estructurado y estudiado y por si acaso no quiera leerlo todo, las conclusiones son como sigue:

  • La sugerencia del NIST para desaprobar SMS es prematura y dañará la adopción general de de la autenticación de 2 factores por empresas y usuarios por igual.
  • No ofrecer SMS como una alternativa de 2FA a las aplicaciones de contraseña de un solo uso basada en el tiempo (TOTP) hará que sea sumamente difícil y costoso para las empresas tratar con usuarios que han perdido sus dispositivos o se los han robado.
  • Solo 79,1 % de los abonados estadounidenses tienen actualmente un teléfono inteligente, de los cuales más de la mitad solo bajan una aplicación muy raramente. Esto nos lleva a concluir que, sin SMS más del 72 % de los estadounidenses se quedarán atascados sin una solución 2AF viable.
  • Se exageran los puntos débiles de SS7 y SMS cuando se intenta realizar un pirateo remoto en masa y en consecuencia los operadores de telefonía deben centrarse en asegurar sus redes y probar al NIST que estos riesgos de interceptación se han resuelto.

En primer lugar, ¿quién es el NIST? Algunos lectores internacionales puede que no estén familiarizados con quiénes son y qué hacen. Básicamente son “un laboratorio de estándares de medición y una agencia no reguladora del Departamento de Comercio de Estados Unidos”. Un punto importante aquí es que animan a las empresas a seguir los estándares que ellos establecen, pero no pueden forzar a nadie a acatarlos. El Gobierno Federal de los Estados Unidos, sin embargo, puede exigir que se cumplan sus estándares.

En segundo lugar, se debe tener en cuenta que las directrices del NIST están actualmente en forma de BORRADOR y cualquiera que desee hacer comentarios puede hacerlo aquí. Es probable que la recomendación solo tendrá lugar a principios del próximo año.

He creado un diagrama para intentar y explicar el fundamento por parte del NIST para proponer desaprobar SMS de la autenticación de dos factores.

Graphic showing an SMS 2FA dilemma with annotations

 

 

 

En resumen, el NIST quiere desaprobar SMS para su uso en la autenticación de 2 factores porque a.) existen métodos más seguros (aunque menos convenientes), y b.) SMS se percibe como inseguro en gran medida a causa de los recientes artículos de prensa debatiendo los puntos débiles de SS7 que se han hecho camino en los medios dominantes.

Es importante enfatizar que “desaprobar” en este contexto no es prohibir o rechazar sino más bien recomendar que se usen otros métodos en su lugar. Paul Grassi escribe en el blog del NIST que simplemente quieren desalentar el uso de SMS porque “puede utilizar este cachorro por ahora, pero ya se va”.

Es imposible negar que existen métodos más seguros siempre y cuando el usuario esté dispuesto a bajar una TOPT u otra aplicación y configurar esa aplicación para que funcione con un servicio en concreto. Esto parece improbable que se haga a través de los usuarios corrientes no técnicos por las razones que se citan a continuación. Además, este método, aunque más seguro, no es una solución mágica para reemplazar los SMS completamente. 

Para los fines de este blog, asumiré que todos los teléfonos inteligentes están protegidos al menos por un pin de 4 dígitos (o huella dactilar) y que en el caso de que el teléfono se pierda o lo roben, se denunciará muy rápido después del hecho para asegurar que la tarjeta SIM se inutiliza. Las implicaciones de seguridad de esto si no es el caso están por tanto fuera del ámbito de este blog.

Si asumimos que esto es cierto, entonces surge un problema fundamental con el método TOTP cuando pierde su dispositivo o consigue uno nuevo como descubrí recientemente; la única manera en que podría acceder a mi correo electrónico personal en Google (que tiene habilitada la autenticación de 2 factores) era utilizar SMS ya que tendría que acceder a mi cuenta antes de que pueda reconfigurar mi aplicación de autenticador de Google en mi nuevo dispositivo.

Sin SMS simplemente no habría sido capaz de acceder a mi cuenta sin pasar por un proceso de 3 días con Google para probar que había perdido mi dispositivo. Por tanto concluyo que ambos deberían utilizarse como respaldo para el otro y que SMS juega un papel fundamentalmente importante en este caso de uso.

 

Como puede ver del estudio de Forbes/Statista (fuente: Gallup) en 2015, es más probable que los usuarios cambien su teléfono cada dos años, que en forma repetitiva, son unos 8,3 millones de personas por mes cambiando su dispositivo; esto es un cantidad inmensa de personas que descubrirán que su aplicación TOTP no se puede transferir fácilmente a otro dispositivo sin 2FA con SMS. Vea la imagen a continuación de las opciones para iniciar sesión en Google con un nuevo dispositivo.

Screenshot of Google's 2FA process

Tenemos codependencias similares en mundo de las aplicaciones de mensajería OTP donde aplicaciones como Viber, Whatsapp, etc. utilizan SMS y Voz para validar y mapear un dispositivo a un número de teléfono. Dado que el SMS debería utilizarse siempre como respaldo, entonces la seguridad general de un servicio será solo tan fuerte como el SMS, y a tal efecto preferiría más tener a los operadores de telefonía centrados en aumentar la seguridad del SMS en autenticación de 2 factores instalando cortafuegos que animar a las empresas para deshacerse de ellos.

Además, debe tenerse en cuenta que las aplicaciones TOTP son más seguras pero todavía son vulnerables a los ataques como cualquier software, y que cualquier aplicación TOTP que use, tiene que asegurarse de que sea de confianza para mantenerla actualizada (sin perder las configuraciones del servicio) y que estarán funcionando para la perpetuidad o se arriesga a dejar a todos los usuarios tirados y tener que pedirles que cambien su aplicación de autenticación en algún momento.

Pie chart showing the number of app downloads per month performed by smartphone users

Por último, viendo la cifra de abonados a teléfonos móviles estadounidenses que tienen una oportunidad realista de bajar en realidad una aplicación TOTP; nos olvidamos de que no todo el mundo tiene un teléfono inteligente y en consecuencia utilizar SMS una vez más se convierte en el mejor método para estos usuarios. Comscore cree actualmente que la penetración de los teléfonos inteligentes estadounidenses se sitúa en el 79,1 %, dejando casi un 21 % de la población que sea improbable que utilice cualquier tipo de autenticación fuera de banda basada en un móvil (excepto SMS).

Sin embargo, esto no es toda la historia, ya que el número de usuarios que alguna vez baja una aplicación en su teléfono inteligente es sumamente baja, con el 65.5 % de esos usuarios apenas bajando una aplicación alguna vez. Lo cual significa que el 72 % de la población estadounidense es improbable que baje alguna vez una alternativa a la 2FA con SMS.

¿Es verdaderamente inseguro el SMS? 

El NIST resume dos preocupaciones principales, una es muy específica para los números virtuales (es decir, números no asociados con un dispositivo físico, tales como VOIP o números vinculados a una aplicación), o un número físico que se ha configurado para recibirse por medio de un servicio IP. Esto incluye números tales como los proporcionados por Skype, o incluso accesibles en iMessage a través de su ordenador de sobremesa. La preocupación aquí es que aunque estos servicios no son necesariamente inseguros, son solo tan seguros con su propio estándar de seguridad de acceso, que en la mayoría de los casos son nombres de usuario y un secreto memorizado que son por consiguiente susceptibles de ataques remotos a escala sin desencadenar una advertencia al propietario del número que ha puesto en peligro. Creo que es una preocupación justificada pero podemos avanzar mucho para solucionar esta preocupación a.) recordando a los usuarios que no utilicen estos servicios en números que se utilizan para 2FA b.) haciendo una búsqueda MNP como parte del servicio de validación del número para asegurarse de que este no es un número VOIP ni virtual.

La segunda preocupación se refiere a cómo se pueden interceptar los números físicos a través de los puntos débiles en la estructura de SS7. Estos puntos débiles han sido bien documentados relativamente por varios estudios y artículos en los medios, pero desde mi punto de vista los riesgos asociados con estos puntos débiles se han exagerado considerablemente en los medios debido a la falta de comprensión de la red SS7 y las suposiciones iniciales asumidas como “el acceso a la red SS7 que puede llegar a la red de la víctima es fácil de obtener”. 

Sus suposiciones iniciales fundamentales asumen que el atacante tiene:

  • El número de teléfono de la víctima. Esto puede parecer trivial en un ataque dirigido pero llevar a cabo un pirateo en masa requeriría un mapeado de los nombres de usuario, correos electrónicos y números de teléfono móvil lo cual no es trivial.
  • Acceso a la red de SS7. Muchas de las demostraciones sugieren que conseguir acceso a la red de SSS7 es trivial y que el atacante tiene acceso a esta red.
  • El acceso a una red de SS7 que a su vez tiene un alcance de señal y/o acuerdo de roaming con la red doméstica de la víctima.
  • Asegurado que la red doméstica de la víctima no tiene protección contra este tipo de fraude y/o ni monitorización para esto.
  • Asegurado que la red doméstica de la víctima no tiene protección contra este tipo de fraude y/o ni monitorización para esto.
  • Asegurado que la víctima tiene el roaming habilitado en su cuenta o esto se podría manipular de alguna manera por el atacante aparte.
  • Conocimientos profundos de SS7/Sigtran y equipo para llevar a cabo el pirateo (probablemente requiere una inversión de 10 mil dólares para hacerlo adecuadamente)
  • La capacidad para coordinar el envío de un mensaje de 2 factores durante el espacio de tiempo en el que la tarjeta SIM ha “pasado” a la red falsa”.
  • No dejó pruebas ni se puede rastrear.

Con el fin de cumplir todos los 8 puntos, sostendré que el atacante tendría que ser empleado granuja dentro de una operadora con derechos suficientes para interceptar un mensaje. Ganar acceso a la red SS7 de la operadora de telefonía móvil de la víctima desde el exterior (es decir, no desde otra gran red MNO) parece tan probable como poner en peligro el cortafuegos del proveedor de servicio que está intentando piratear. Llevar a cabo un pirateo en masa implicando víctimas de múltiples operadoras durante un espacio de tiempo muy pequeño parece extremadamente improbable. 

De manera interesante Verizon y Sprint son inmunes a este tipo de fraude de interceptación por roaming debido al hecho de que son redes CDMA(acceso múltiple con división de código) y no GSM (sistema global para las comunicaciones móviles). Como han implementado 4G LTE esto puede cambiar pero en este momento son probablemente los más seguros en cuanto a 2FA con SMS. Esto es aproximadamente el 50 % de todos los abonados. Una mitigación sencilla de este riesgo de “interceptación con roaming” en las otras redes es realizar una búsqueda HLR (registro de localización de abonados) del número de teléfono antes de autenticar a un usuario para asegurarse de que están en su red doméstica y no en roaming.

La otra amenaza que se cita comúnmente cuando se habla de la seguridad de los SMS es la relativa facilidad con que alguien puede obtener un clon de su tarjeta SIM y/o conseguir que un agente de atención al cliente revele los contenidos de un SMS. Aunque se ha exagerado mucho de la idea de que una persona puede engañar a un empleado de una tienda de una operadora de telefonía móvil para hacer una nueva SIM para persona alternativa, esto no puede hacerse claramente en masa y tiene alta probabilidad de detección, tanto de la persona verdadera que tiene un fallo de autenticación de la red y desde los registros de la tienda e identificando en vídeo al responsable. De manera similar, conseguir un empleado técnico dentro de una operadora, un agregador o enviar empresa de envíos para acceder a los registros de mensajes SMS y revelar los contenidos de un mensaje específico parece muy improbable a escala o en situaciones donde la meta es frustrar los métodos de seguridad, como 2FA.

Por último, es verdad que el malware puede interceptar un mensaje de SMS en un dispositivo (concretamente en Android), pero uno puede argumentar que esto no es un punto débil del SMS sino más bien del sistema operativo del móvil y/o software de antivirus.

Recomendaciones

Recomendaciones a empresas

  • Continúe utilizando la 2FA con SMS para las aplicaciones empresariales más típicas. Considere utilizar otros métodos de 2FA para los casos de uso de alta seguridad más cruciales. Deles a los usuarios una elección entre SMS y aplicaciones TOTP en mucha situaciones, y como respaldo mutuo.

Recomendaciones a las operadoras de telefonía móvil

  • Bloqueen todo el acceso a SS7 desde operadoras que no tienen acuerdos de roaming.
  • Implemente cortafuegos en SS7 y SMS para monitorizar y detectar el fraude de interceptación.
  • Entiendan los vectores de amenaza y mitiguen constantemente estos riesgos.
  • Realicen frecuentemente pruebas de penetración para asegurarse de que la red SS7 es segura.
  • Asegurarse de que los IR21 se mantienen confidenciales comercialmente e intentar y usar títulos globales no secuenciales para una infraestructura de red principal.
  • Trabajar con organismos de estándares incluido el NIST para explicar mejor los probables riesgos asociados con 2FA con SMS.
  • Permitir que los proveedores un acceso pagado legítimo a la búsqueda HLR (sin IMSI completo) para asegurar que se pueda determinar el fraude de interceptación en roaming.

Recomendaciones a los consumidores

  • Autobloquear su teléfono y pedir código de acceso o huella digital para desbloquear.
  • Habilitar 2FA en todas las cuentas con SMS o TOTP.
  • Proteger el dispositivo del malware.
  • Activar el roaming solo cuando es probable que vaya al extranjero.
  • Determine si cualquiera de sus direcciones de correo electrónico ha sido pirateada visitando https://haveibeenpwned.com y nunca usar esas contraseñas otra vez.
  • Utilice https://howsecureismypassword.net/ para elegir una contraseña fuerte y asegúrese de usar una contraseña distinta y/o direcciones de correo electrónico para cada servicio. Recuerde que una contraseña de 3 palabras (p. ej. fish.hammer.cake) es órdenes de magnitud más fuerte que una cadena de 8 dígitos de letras/números y mucho más recordable.

Haber encontrado personalmente mi correo electrónico y contraseña de Myspace, Linkedin, Adobe y Tumblr en la internet pública, no es una sorpresa para mí con qué frecuencia este tipo de autenticación simple se piratea, y por qué un pirateo lleva a muchos otros. Utilice una contraseña fuerte y asegúrese de usar una contraseña distinta y/o direcciones de correo electrónico para cada servicio.

Resumen

La facilidad, comodidad y ubicuidad de SMS en 2FA es nuestra única oportunidad colectiva de implementar 2FA a través de una audiencia en masa próximamente. Ofrece un punto óptimo entre simple nombre de usuario y contraseñas (que no son seguros) y las soluciones TOTP seguras más avanzadas que existen hoy.

Las empresas deben continuar adoptando SMS para 2FA para la mayoría de tipos de servicios ya que es considerablemente más seguro que no usar 2FA para nada. Para aquellas empresas y consumidores que quieran tomar precauciones adicionales este blog ofrece una serie de mitigaciones incluido hacer búsquedas MNP/HLR antes de cada autenticación.

Se recomienda encarecidamente que la comunidad de operadoras de telefonía móvil trabajen para reducir los riesgos de fraude de interceptación en roaming, o por lo menos, manifestarse en los medios sobre lo bien que entienden y han mitigado frente a estos riesgos.

Con diferencia el resultado más importante es hacer que todas las empresas adopten 2FA de alguna manera y entonces animar a todos los consumidores a adoptarla. SMS ayudarán con esa adopción porque; a.) más del 72 % de los estadounidenses no tiene un teléfono inteligente o es improbable que bajen y configuren una aplicación de 2FA, y b.) cambiar dispositivos sin SMS en servicios habilitados con 2FA puede requerir tiempo y ser frustrante para las empresas y los usuarios por igual.

Se debe recordar que la seguridad no se trata solo de la tecnología, sino más bien sobre las políticas y los procesos de la empresa. En mi opinión, los puntos débiles en esta área suponen un riesgo mucho mayor que los puntos débiles de los SMS en 2FA.

Nuestra recomendación general a NIST es NO desaprobar SMS sino continuar aconsejando que SMS se puede utilizar para muchos/la mayoría de los usos de 2FA y recomendar maneras de aumentar la seguridad cuando haga falta, como se resume en este blog. Para los servicios que son concretamente de alto riesgo o situaciones de pérdida alta, estamos de acuerdo que TOTP o equivalente es una solución mejor siempre que los usuarios sea probable que la adopten.

Autor: Rob Malcolm (Mblox/CLX)

Signup for Blog Updates