16th - Mar - 2017

La autenticación de dos factores que utiliza SMS es todavía la mejor seguridad para los servicios por internet

Graphic of a trophy resting on top of a book next to an apple

Fomentados por la nube, los servicios personales y de empresas online son generalizados. Y todo lo que hacemos en internet tiene que ser registrado y después hay que iniciar sesión. Nuestra identidad (en forma de nombre de usuario o correo electrónico y contraseña) se pone en práctica, una y otra vez, como puerta para realizar una variedad de funciones cada vez mayor. Todo es juego limpio, desde el software de aplicaciones comerciales hasta los servicios cruciales como la banca en línea.

Un estudio reciente de Centrify indica que más de un cuarto de nosotros introduce una contraseña en línea más de 10 veces al día, o de 3500 a 4000 veces al año. De hecho, el 42 por ciento de los encuestados en el Reino Unido y el 37 por ciento en Los EE. UU. dicen que crearon más de 50 nuevos perfiles de cuentas al año.

Sigue que la identidad por internet es un reto. Hay una tendencia para los usuarios hacia simplificar el proceso usando el mismo nombre de usuario y contraseña, facilitando que los estafadores ganen acceso a múltiples cuentas con un solo pirateo.

Claramente hay una necesidad real de añadir una capa adicional de seguridad o de autenticación del usuario a una miríada de servicios en línea. Combinar algo que sabe (p. ej. nombre de usuario/contraseña), con algo que tiene (teléfono y credencial física) es considerablemente más seguro ya que no se puede explotar remotamente con facilidad. Como tal, durante años, la autenticación de dos factores (2FA) se ha considerado como la respuesta al dolor de cabeza del acceso por internet.

Requiere que los usuarios utilicen algo que saben (como una contraseña) y algo que tienen (como un teléfono móvil). Después de introducir una contraseña, se envía un segundo código (normalmente un número aleatorizado) al dispositivo móvil del usuario a través de un SMS y solo después de que lo introducen, el usuario obtendrá acceso a cualquier servicio dado.

El gmail de Google, Linkedin, PayPal, Evernote, DropBox y muchos otros todos tienen una autenticación de dos factores integrada como característica estándar.

Añadir esta línea secundaria de protección es esencial, y la mejor manera de hacerlo parecía ser con un código de entrada de un solo uso enviado por SMS. Efectivamente, tanto como un 20 por ciento de toda la mensajería A2P (de aplicación a persona) en la red de CLX viene de la autenticación. Los bancos, las redes sociales y demás han encontrado el proceso claramente eficaz.

Pero en 2016 el 2FA SMS fue presentado como falible. Un anuncio realizado por el Instituto Nacional de Ciencia y Tecnología (NIST) en los EE. UU. indicó que había encontrado fallos en 2FA a través mensajes SMS, y dijo que estaba considerando estos riesgos y puede “menospreciar” SMS en estándares futuros.

En concreto el NIST estaba preocupado de que los piratas informáticos pudieran explotar los fallos en el protocolo SS7 que las operadoras utilizan para habilitar el roaming en sus redes. En algunos casos muy sofisticados los piratas informáticos pueden engañar a la red telefónica para que piense que el dispositivo está en otra red permitiendo que se intercepte un SMS de 2FA.

Teóricamente este podría ser el caso pero si quitamos algunas capas, es evidente que el riesgo ha sido sumamente exagerado. En realidad, las únicas personas que podrían explotar repetidamente este fallo del protocolo SS7 a escala serían empleados corruptos dentro de una operadora que opere una red GSM, el equivalente de un empleado de Facebook accediendo a su cuenta de Facebook.

Muchos críticos de SMS para 2FA ignoran la debilidad verdadera de SS7 y en su lugar citan ejemplos de incidentes de intercambio de la SIM donde el agresor convence a la operadora para proporcionar una tarjeta SIM de reemplazo o transferir el número a otra operadora como pruebas de que el SMS no se debería utilizar para 2FA. Aunque estos abusos son muy reales, no son debilidades del SMS sino más bien debilidades de los procesos y controles comerciales. Las operadoras no son las únicas empresas que sufren estas debilidades, y hay muchos ejemplos de ingeniería social que se utiliza para acceder a los registradores del nombre del dominio, proveedores de correo electrónico y cuentas de los medios sociales por nombrar algunos.

La reacción contra el SMS ignora el hecho de que es generalmente seguro y, lo más importante, los usuarios están habituados a él porque es práctico y extendido. Además, es importante ser realista y ofrecer la mejor seguridad posible que la gente adoptará en realidad. En otras palabras, siempre hay un equilibrio entre seguridad y facilidad de uso. En este aspecto para la gran mayoría de los servicios en línea, 2FA con SMS es la mejor opción que tenemos. Cuando miramos alternativas realistas al SMS tales como la “contraseña temporal de un solo uso” (TOTP), la prueba parece ser clara que conseguir que un usuario no técnico descargue una aplicación diferente para cada servicio en línea es muy improbable, y como tal dicha alternativa es una paso retrógrado al sistema de nombre de usuario y contraseña.

Más que menospreciar el SMS como estándar de seguridad, la solución sería solucionar las vulnerabilidades conocidas del SS7 en lugar de impedir el uso de SMS para 2FA. Esto es algo que muchas operadoras están haciendo al instalar cortafuegos de SS7 para mitigar frente a estos y otros riesgos como las rutas grises.

Aunque siempre es posible cerrar los resquicios en un sistema, es mucho más difícil reducir la tendencia de la gente a que los “engañen”. Es un hecho que es la ingeniería social, y no los pirateos técnicos, lo que está detrás de la mayoría de los ataques. Los criminales convencen a un agente de un centro de contacto de la red para desactivar o transferir la SIM original y proporcionar una nueva. O hacer phising a los usuarios con un mensaje de texto o correo electrónico de trampa con el objetivo de engañar al consumidor para revelar sus datos personales tales como los datos bancarios o las contraseñas para los servicios en línea haciéndose pasar por una marca con la que el consumidor está familiarizado (como su banco). En el reciente estudio de los consumidores en el MEF de CLX por ejemplo, encontramos que el 33 por ciento de los usuarios de móviles han recibido un mensaje de phishing el año pasado. Las operadoras tendrán que intensificar los controles para asegurar que estos abusos se erradican ya que estos problemas van más allá del SMS y 2FA.

Es de hecho una autenticación de dos factores que puede ayudar a reducir estos ataques, porque hace que el acceso sea mucho más complejo que meramente obtener el nombre de usuario y la contraseña de alguien.

Autor: Rob Malcolm, Vicepresidente de Marketing y Ventas Online en CLX Communications

Signup for Blog Updates