Más artículos

Facebook hackeado: por qué los SMS ya no sirven como sistema de autentificación en dos pasos

Facebook hackeado: por qué los SMS ya no sirven como sistema de autentificación en dos pasos
Los datos filtrados exponen ahora a millones de usuarios a ser víctimas de ataques de suplantación de identidad y otros ciberataques dirigidos
Por iProUP
08.04.2021 17.30hs Innovación

Los datos personales de más de 533 millones de usuarios de Facebook quedaron "desnudos" después de la última y escandalosa filtración sufrida por la red social de Mark Zuckerberg. Se trató de la enésima demostración de cómo una empresa negligente pone en riesgo la privacidad de sus usuarios, su seguridad e, incluso, sus ahorros.

Los datos filtrados exponen ahora a millones de usuarios a ser víctimas de ataques de suplantación de identidad y otros ciberataques dirigidos.

El peligro es enorme, y este nuevo descalabro de Facebook representa la última advertencia de un tema delicado: el SMS no es un buen método de autenticación en dos pasos.

Miedo

Hasta no hace mucho parecía bastar con una protección de un único paso (usuario/contraseña), pero los robos masivos de contraseñas y malas prácticas por parte de los usuarios (usar y reutilizar '123456' como contraseña es una idea atroz) hicieron que los métodos de autenticación en dos pasos (2FA) fueran mucho más recomendables a la hora de proteger cuentas en todo tipo de servicios.

Ya no sirve de mucho tener solo un usuario y contraseña. También el usuario necesitaba verificar la identidad con una clave de paso, normalmente un PIN que llegaba a través de un mensaje SMS al celular o smartphone.

La idea era fantástica... o lo parecía. Solo el usuario está (teóricamente) en poder de su teléfono, así que ese PIN solo le podía llegar a el, ¿no?

No.

En filtraciones como las que ocurrieron con Facebook, los datos ya no son tan solo listas de correos electrónicos y de contraseñas asociadas. En esos datos vienen nombres completos, números de teléfono móvil, también el sexo y la ubicación de esos usuarios. La amenaza que plantean esos datos es enorme.

La respuesta de Facebook al robo fue asombrosa, porque su filosofía es la de la inacción. No tienen planes para notificar a los usuarios afectados, que aún así pueden saber si forman parte de la filtración gracias al reputado servicio HaveIBeenPwned.

Un reciente cambio en este servicio permite no solo saber si el correo electrónico se filtró, sino también si lo ha hecho el número de celular y el resto de datos asociados a esos parámetros.

¿Qué pueden hacer "los malos" con los datos filtrados por Facebook?

Todos esos datos le dan a ciberdelincuentes una oportunidad de oro para hacer todo tipo de ataques dirigidos, tanto de phishing (con correos que alguien que conocemos nos manda, "oye, ahora sí que puedo fiarme") como de suplantación de identidad.

 

No es difícil imaginar que esos datos puedan servir para que un delincuente logre suplantar la identidad del usuario y lograr por ejemplo un duplicado de su tarjeta SIM. El inquietante SIM swapping está a la orden del día, y si si sos víctima de un ataque vas a estar en un verdadero aprieto, porque de repente tu celular dejará de funcionar y el atacante aprovechará para poder hacer todo tipo de operaciones usando ese móvil.

Será él quien reciba el PIN para hacer esa transferencia bancaria o completar esa compra en Amazon, no tú, pero serás tú quien pague el pato (y la factura).

Las peligrosas ramificaciones de un robo de datos como este son insondables, y pueden llevar también a otros ataques de ingeniería social que permitan a otras personas recolectar aún más datos tuyos o convencerte para que les mandemos tu DNI (ni se te ocurra), y de nuevo las consecuencias de esos errores pueden ser fatales.

Adiós al SMS como método de autenticación

Proteger tus cuentas con autenticación en dos pasos es una gran idea, pero hacerlo con SMS no lo es tanto.

 

Es cierto los SMS son mejor que nada. De verdad que lo es. El problema es que este último desastre visto en Facebook pone de relieve que esos números de móvil ya no están tan seguros (algo que ya se sabe hace tiempo), y que hay alternativas mucho mejores a la hora de implementar sistemas 2FA.

¿Cuáles? Para empezar, las aplicaciones móviles específicas para este propósito. Hay varias populares —Google Authenticator, Microsoft Authenticator, Authy...—, pero a ellas se suman otros métodos aún más seguros como los dispositivos físicos de autenticación, que a menudo se presentan en forma de llaves USB.

Expertos en ciberseguridad e incluso organizaciones como Amnistía Internacional recomiendan estos 'tokens físicos'. Los más célebres son probablemente las de Yubikey, pero hay otras muchas alternativas, incluidas las Titan que Google desarrolló hace tiempo.

Las soluciones están ahí, pero la industria sigue anclada en el SMS

¿Por qué este tipo de alternativas no logran cuajar en el mercado? En primer lugar, por la condena de la comodidad y la conveniencia. Los SMS son ya un viejo conocido que favorece la accesibilidad a estos sistemas de autenticación en dos pasos. Esta tecnología forma parte de los teléfonos, el usuario no tiene que hacer nada para aprovecharla y además, la conoce y confía en ella (aunque quizás no debería hacerlo tanto).

Utilizar métodos más seguros como los citados requiere un cambio y un esfuerzo, algo que a los seres humanos no les hace mucha gracia. Da igual que el beneficio sea claro: son resistentes al cambio, y eso de tener que instalar una aplicación móvil nueva e ir usándola en sus dispositivos "con lo bien que estábamos con los SMS" se hace difícil.

Pero en realidad el verdadero problema es de la industria, que sigue absolutamente anclada en los SMS. Salvo en el caso de ciertos servicios específicos, hay numerosos escenarios en los que el soporte de apps como Google Authenticator (no se diga ya de llaves de seguridad tipo Yubikey) son un anatema para las empresas.

Las grandes de la tecnología son las que poco a poco comienzan a integrar estos sistemas en sus servicios. El Proyecto FIDO2/WebAuthn de la FIDO Alliance y el protocolo U2F (Universal 2nd Factor) que potencian soluciones como las que ofrece Yubikey van poco a poco soportándose en más y más servicios, y aunque muchos son interesantes por su potencial papel como intermediarios de una expansión masiva de estas tecnologías, lo cierto es que el SMS manda de momento en el mundo actual.

Fuente: Xataka

Innovación en tu mail
Suscribite a nuestro newsletter y recibí diariamente las últimas noticias en economía digital, start ups, fintech, innovación corporativa y blockchain.
Lo más leído