Portada General Autenticación en 2 Pasos (2FA) por SMS – ¡Cuidado con los Hackers!
Siempre se ha dicho que los ladrones van un paso por delante de las medidas de seguridad y en Internet eso es aun más cierto que en el mundo offline.
Si tienes cuentas en servicios online, cada vez más a menudo te toparás con la posibilidad de añadir un capa de seguridad extra en los accesos.
Además de los típicos credenciales de acceso, usuario y contraseña, podemos añadir la llamda autenticación en 2 pasos o simplemente 2FA.
Este proceso es muy sencillo, para acceder a cualquier sitio en Internet todo tiene contraseña, la pones y antes de acceder el sistema te envía un mensaje de texto SMS con un código a tu móvil.
Este código lo tienes que añadir como credencial de acceso y cambia cada vez que intentas acceder al servicio.
De esta manera, si algún hacker consigue nuestro nombre de usuario y contraseña, no podrá acceder al servicio si no dispone de esta último código.
Todos esto parece muy seguro y más teniendo en cuenta los niveles de seguridad de acceso de los smartphones actuales, con lector de huellas o reconocimiento facial.
El problema es que, como hemos comentado, los ladrones, hackers, atacantes o como quieras llamarlos, también se actualizan….
Del mismo modo que aplicamos medidas extra de seguridad en nuestros acceso, algo que debemos acostumbrarnos a hacer y que mejora sustancialmente nuestra seguridad, los malos también toman «medidas extra» para seguir haciendo de las suyas.
El mayor problema de seguridad en la autenticación en 2 paso, no es el propio sistema, si no en los mensajes de texto o SMS.
Los SMS los recibimos en nuestros teléfonos móviles, que por lo general son bastante seguros, pero el medio no lo es.
Las lineas telefónicas no son un medio seguro, nunca lo han sido y no lo serán nunca y los SMS se transmiten por medio de las lineas telefónicas.
No disponen de cifrado SSL, para un experto son muy fáciles de interceptar y además, son extremadamente sencillos de falsificar.
El medio no es seguro, ok, pero todavía falta otro eslabón para saltarse una protección 2FA y precisamente es el eslabón más débil, nosotros los usuarios.
Si estás más o menos atento a las noticias que publicamos en este blog de formación, sabrás que cada dos por tres, aparecen nuevos casos de campañas de phishing.
Los atacantes pueden combinar la suplantación de identidad (un SMS, por ejemplo), con una trampa phishing dirigida al usuario.
Si el usuario cae en la trampa creyendo que el mensaje que ha recibido procede de una fuete fidedigna y responde al mensaje enviado, le da un oportunidad al atacante de lanzar una solicitud de autenticación en 2 pasos y obtener el código de la mano del propio usuario.
Esto puede parecer un poco rocambolesco, pero funciona y la imaginación de los atacantes no parece conocer límites.
Y si estás pensando en cambiar el método de autenticación de SMS a llamada telefónica, estarás en la misma situación, ya que el medio sigue siendo la linea telefónica.
La autenticación en 2 pasos es un buen sistema de seguridad que ayuda a solventar muchos de los problemas con los que nos encontramos en el día a día.
Muchos usuarios utilizan la misma contraseña de acceso a distintos servicios y si uno de estos servicios sufre alguna brecha de seguridad, los datos de acceso se verían comprometidos.
A un atacante no le costaría mucho probar las credenciales comprometidas en distintos servicios para intentar acceder a ellos sin permiso.
Si tenemos una protección extra, como es la autenticación en 2 pasos, el atacante no podrá acceder aunque tenga nuestra contraseña.
Como el problema viene del SMS, lo único que tenemos quehacer es eliminar el SMS de la ecuación.
La solución al problema pasa por usar una app en nuestro smartphone que genere los códigos de acceso.
Existen muchas apps que podemos usar para este proceso, siendo las más utilizadas Google Authenticator o Microsoft Authenticator, aunque hay muchas más.
Aunque sigamos utilizando el móvil como herramienta de autenticación 2FA, no usaremos las lineas telefónicas, ya que es la propia app la que genera los códigos de acceso de manera aleatoria y por tiempos definidos.
Eso si… ¡¡ten cuidado dónde dejas el móvil!!
Dicen que no existe ningún sistema totalmente impenetrable y que la «seguridad absoluta» es una quimera y es posible que tengan razón.
Pero cuantas más trabas pongas a los atacantes, antes pensarán en otro de los muchos posibles objetivos y «pasarán» de ti.
Usar contraseñas seguras y distintas para cada servicio y activar 2FA en todos los sitios dónde puedas, son dos puntos muy importantes de cara a la seguridad.
Si usas muchos servicios, acordarse de todas las contraseñas es virtualmente imposible, más si son seguras con números, letras y símbolos aleatorios, pero siempre puedes usar uno de los múltiples gestores de contraseñas disponibles.