Microsoft alerta de la inseguridad de la autenticación de dos factores por SMS

La autenticación de dos factores o 2FA es uno de los mecanismos de seguridad más importantes de la industria tecnológica a la hora de autentificar usuarios y proteger identidades y prevenir el fenómeno del robo de cuentas que se extiende como una plaga si no tomamos medidas.

Claro qué, hay varias maneras de implementar la autenticación de dos factores y algunas no son tan seguras. Alex Weinert, Director de Seguridad de Identidades de Microsoft, ha emitido una alerta sobre el uso de los SMS y el MFA por voz, inseguros por defecto porque se basan en redes telefónicas conmutadas públicamente de las que se puede abusar fácilmente para lograr hacerse con los datos de usuario.

Autenticación de dos factores si, pero no SMS ni voz
«Una de las ventajas importantes de los servicios es que podemos adaptarnos a las expectativas de la experiencia del usuario, los avances técnicos y el comportamiento de los atacantes en tiempo real. Desafortunadamente, los formatos de voz y SMS no son adaptables, por lo que las experiencias y oportunidades de innovaciones en usabilidad y seguridad son muy limitadas», dice Weinert.

«Cuando se desarrollaron los protocolos de voz y SMS, se diseñaron sin cifrado. Desde una perspectiva de usabilidad práctica, no podemos superponer el cifrado en estos protocolos porque los usuarios no podrían leerlos (también hay otras razones, como la saturación de mensajes, que han impedido que estos se apoderen de los protocolos existentes)», explica.

Ello significa que las señales pueden ser interceptadas por cualquier persona que pueda acceder a la red de conmutación o dentro del alcance de radio de un dispositivo. Además, los sistemas PSTN son fáciles de diseñar en redes sociales y están sujetos al desempeño de los operadores móviles, lo que significa que no son 100% confiables ni completamente consistentes.

Por ello, la apuesta debe ser por una autenticación de dos factores basada en aplicaciones. Microsoft ofrece un sistema Authenticator para acceder a sus aplicaciones con cuenta ID de Microsoft. Al igual que Google, que creó (junto a otros proveedores) un sistema más avanzado y seguro llamado Authenticator como una alternativa a los códigos de acceso basados ​​en SMS.

La aplicación funciona generando códigos únicos de seis a ocho dígitos que los usuarios deben ingresar en los formularios de inicio de sesión al intentar acceder a las cuentas en línea. Debido a que los códigos de Google Authenticator se generan en el teléfono inteligente de un usuario y nunca viajan a través de redes móviles inseguras, las cuentas en línea que usan códigos Authenticator como capas 2FA se consideran más seguras que las protegidas por códigos basados ​​en SMS.