Por qué SMS no es bueno para la autenticación multifactor (MFA)
El hecho de que las contraseñas por sí solas ya no sean lo suficientemente efectivas dio lugar a alternativas más avanzadas, incluidas técnicas de inicio de sesión sin contraseña que involucran biometría o tokens de hardware.
Las formas clásicas de autenticación multifactor (MFA) se encuentran en algún punto intermedio. A pesar de una gran cantidad de críticas, representan una forma decente de acceder a las cuentas web de forma segura, mejorando la lógica de autenticación con un factor adicional, como una llamada telefónica de verificación o una contraseña de un solo uso (OTP) enviada a un teléfono inteligente.
Aunque indudablemente funciona mejor que las contraseñas estáticas que se pueden adivinar o forzar en un instante, MFA a través de mensajes de texto tiene sus desventajas. El principal eslabón débil es que depende de las redes telefónicas públicas conmutadas (PSTN), cuya arquitectura es intrínsecamente vulnerable a un puñado de métodos de explotación habituales. Lo mismo ocurre con las redes GSM, que se clasifican como elementos del amplio ecosistema PSTN.
La creciente adopción de MFA alentará a los actores malintencionados a centrarse en romper estos mecanismos, y la autenticación basada en SMS podría convertirse en la fruta más barata en esta área. Es susceptible a todos los tipos comunes de compromiso de credenciales: ingeniería social, suplantación de identidad, pirateo de cuenta, malware, Tu dilo. Además, el robo de dispositivos tiene aquí implicaciones particularmente adversas.
Los contras de usar MFA a través de SMS
Los siguientes párrafos destacan los principales escollos de optar por SMS como factor de autenticación.
Baja flexibilidad
Dado que una gran cantidad de dispositivos de telecomunicaciones están diseñados para recibir mensajes a través de redes PSTN, el formato de estos mensajes está estrictamente unificado para garantizar el máximo soporte independientemente del dispositivo receptor.
Significa que apenas hay opciones para extender la funcionalidad de SMS en términos de MFA más allá de enviar una OTP corta. La innovación es un nombre inapropiado en este contexto porque no es posible que podamos mejorar la seguridad y las características del marco tradicional de mensajes de texto.
Pésima protección de los datos en tránsito
Ni el protocolo SMS ni su contraparte de voz implican cifrado. Esta peculiaridad se debe a los criterios obvios de usabilidad: estos mensajes no serían legibles por humanos si sus contenidos estuvieran encriptados. Combine eso con el riesgo de que los SMS o las llamadas sean interceptados por los actores de amenazas dentro del alcance de radio de un teléfono, y el riesgo aumenta considerablemente.
Aquí hay algo más para pensar: las redes de telecomunicaciones interactúan entre sí a través del protocolo de telefonía Signaling System 7 (SS7). Fue desarrollado en 1975 y continúa utilizándose en todo el mundo, sin abordar los desafíos actuales de seguridad y privacidad.
Existen dispositivos y servicios que permiten la escucha clandestina en estas redes, como es el caso de la Esquema de intercepción SS7, el uso de torres de telefonía celular falsas y una técnica que arma femtocélulas cuyo propósito original es potenciar la señal celular. Para colmo, los delincuentes pueden obtener acceso no autorizado a la infraestructura de la red de conmutación y, por lo tanto, aprovechar el tráfico telefónico sin siquiera tener que estar cerca.
La ingeniería social puede jugar su papel maligno
Los sistemas de telecomunicaciones modernos están respaldados por enormes infraestructuras de atención al cliente. Este distintivo expone a los servicios PSTN a vulnerabilidades que giran en torno al error humano. Manipular a un agente de atención al cliente podría ser más fácil que piratear software. Un poco de encanto o soborno directo podría allanar el camino de un malhechor para modificar algunas configuraciones u obtener información confidencial que pertenezca a la posible víctima.
Se produce una situación particularmente adversa si el atacante conoce los números de teléfono de los contactos a los que la persona ha estado llamando con más frecuencia, además de algunos datos de identificación personal (PID), como el número de seguro social. Al proporcionar estos detalles, el impostor puede engañar a la empresa proveedora para que redireccione los mensajes de texto de la víctima a la tarjeta SIM incorrecta.
Para colmo de males, este truco podría conducir a la duplicación de la SIM si el delincuente logra convencer al agente de soporte de que emita otra tarjeta con el mismo número porque la actual se ha perdido o dañado.
Adquisición de cuenta
La mayoría de los operadores de telefonía móvil permiten a sus clientes crear cuentas en línea que pueden usarse para habilitar o deshabilitar servicios, modificar configuraciones y revisar estadísticas de uso del teléfono. Un engaño de phishing inteligente puede permitir que un perpetrador piratee la cuenta en línea de una persona. Por ejemplo, la víctima puede ser redirigida a un formulario de inicio de sesión falso y se le puede indicar que ingrese su nombre de usuario y contraseña; obviamente, estas credenciales van instantáneamente al malhechor. En este escenario, el delincuente puede activar los SMS o el desvío de llamadas para interceptar las OTP utilizadas para la autenticación.
Recuperación rebelde
Los sistemas MFA basados en mensajes de texto generalmente brindan una opción de recuperación que ayuda a los usuarios a continuar usando la autenticación segura si pierden su teléfono o cambian el número. Esta función funciona principalmente por correo electrónico. Si un actor malintencionado obtiene acceso a su cuenta de correo electrónico, puede abusar de la función de recuperación para especificar un número de teléfono falso para su verificación. A raíz de este juego sucio, los OTP se enviarán al delincuente.
Descuidos del operador de telefonía móvil
No importa cuán progresivo sea un sistema PSTN específico, es propenso a fallas en la entrega de mensajes y en los informes. Dependiendo de la región y el equipo de red que se utilice, un cierto porcentaje de mensajes de texto nunca llegan a su destino. La tasa de entrega fallida puede ser tan baja como el 50% en algunas áreas.
Los servicios de MFA no tienen forma de saber que un mensaje no llegó y, por lo tanto, deben depender de datos estadísticos específicos de la red para identificar problemas. Este es un tiro en la oscuridad hasta cierto punto. En general, si está utilizando SMS para recibir OTP para la autenticación, no puede estar seguro de que el mensaje llegará a su dispositivo.
Factores regulatorios
Dado que el spam de SMS es un fenómeno cada vez más común, los reguladores han impuesto requisitos con respecto al contenido de los mensajes y las velocidades de transmisión. Si bien estas son iniciativas efectivas cuando se trata de eliminar las campañas de fraude que involucran mensajes de texto, pueden implicar interrupciones en la entrega e incluso evitar que los mensajes MFA lleguen a los destinatarios previstos. Dado que los códigos OTP suelen ser válidos durante un período de tiempo limitado, su experiencia de autenticación podría irse por el desagüe si la entrega de SMS se retrasa o el mensaje se filtra.
Contexto estrecho
La cantidad de información que se puede transmitir a través de SMS está estrictamente limitada. La longitud máxima estándar es de 160 caracteres. Si no se utiliza la codificación GSM, el límite se reduce a 70 caracteres. En términos prácticos, significa que los proveedores de MFA no pueden proporcionar ningún contexto de autenticación adicional para frustrar el phishing y otros vectores de explotación.
¿Y las alternativas?
No hace falta decir que la autenticación multifactor se está convirtiendo en una necesidad en estos días. La pregunta correcta que debe hacerse no es «¿Debería usar MFA?» Es «¿Qué método MFA debo utilizar?»
Con las serias desventajas de aprovechar los SMS para la autenticación de múltiples factores que están saliendo a la luz, existen métodos más confiables que pueden llevar la seguridad de su rutina de inicio de sesión al siguiente nivel. Por ejemplo, puede optar por técnicas biométricas cuando estén disponibles.
La autenticación basada en aplicaciones también es cada vez más popular en todos los ámbitos. Algunos servicios lo comercializan como una panacea que elimina las lagunas intrínsecas a los mensajes de texto. Esta técnica emplea encriptación, asegura una experiencia de usuario sin problemas y proporciona suficiente contexto para defenderse de diferentes tipos de abuso.
Sin embargo, las aplicaciones de autenticación tienen algunas desventajas. Si pierde o cambia su teléfono, no recibirá códigos OTP hasta que reinstale la aplicación y registre el nuevo dispositivo con el proveedor de MFA. Si se habilita MFA a través de SMS, el proceso de autenticación no se interrumpirá en tal escenario.
Además, el inicio de sesión seguro utilizando una aplicación especialmente diseñada es principalmente una cuestión de tocar o hacer clic en «Sí» o «Permitir» en una ventana emergente de solicitud de autenticación. El problema fundamental con este mecanismo es que la mayoría de la gente está naturalmente inclinada a dar luz verde a tales solicitudes sin pensarlo dos veces. Si un atacante intenta acceder a la cuenta de una persona, la más mínima falta de vigilancia podría ser una receta para una adquisición.
Estas advertencias hacen que la autenticación basada en aplicaciones sea un arma de doble filo. Es más confiable que su contraparte de SMS, sin duda, pero no está impecable. Dicho esto, parece que la bala de plata para una AMF segura aún no se ha ideado.
Foto por Roman Pohorecki desde Pexels
#Por #qué #SMS #bueno #para #autenticación #multifactor #MFA