La autenticación en dos pasos no es tan segura, y la culpa es de los SMS

La autenticación en dos pasos no es tan segura, y la culpa es de los SMS
12 comentarios Facebook Twitter Flipboard E-mail

Ah, las contraseñas. Invivibles, pero insustituibles. Este sistema de seguridad es el más extendido en todo el mundo para el acceso a todo tipo de servicios, y sus limitaciones parecían poder ser aliviadas con los sistemas de autenticación en dos pasos.

Estos sistemas permiten añadir una capa más de seguridad al obligarnos a completar el proceso con nuestro móvil, en el que recibimos un número PIN por SMS para luego introducirlo en el servicio correspondiente. El problema es que los SMS son vulnerables, así que la autenticación en dos pasos debería plantearse de otro modo. Google, por cierto, ya lo hace.

Google ofrece una alternativa que otros debería copiar

Uno de los problemas de este tipo de mensajes es que la ingeniería social puede funcionar: hace poco un activista político que usaba ese sistema de autenticación se dio cuenta de que en su cuenta de Twitter aparecían mensajes pro-Donald Trump: el hacker que ya había logrado su usuario y contraseña se había hecho pasar por el activista en su operadora móvil y había logrado que redireccionaran sus llamadas y mensajes a otro número de móvil.

Contras

El problema es que la autenticación en dos pasos se basa en un principio muy simple: combinar "algo que solo tú sabes" (tu contraseña) con "algo que solo tú tienes" (tu teléfono, tu huella dactilar, tu iris). El problema es que esa segunda parte de la ecuación no es proporcionada del todo por el sistema de autenticación en dos pasos, ya que como hemos visto los mensajes SMS se pueden redireccionar... o interceptar.

Google -que ya tenía Authenticator para esta capacidad- solucionó parte del problema la semana pasada al lanzar Google Prompt, un sistema que hace que esa verificación no se envíe a través de mensajes SMS, sino desde los servidores de Google, algo que hace más complejo interceptarlos. Hay otros sistemas -como los generadores de tokens que se usan en algunos bancos- pero parece que la propuesta de Google es especialmente interesante de cara al futuro: puede que otros servicios acaben aprovechando esa misma idea y adaptándola.

Vía | Wired
En Xataka | Autenticación en dos pasos: qué es, cómo funciona y por qué deberías activarla

Comentarios cerrados
Inicio