Proteger tus cuentas con autenticación en dos pasos es una gran idea: hacerlo con SMS no tanto

Proteger tus cuentas con autenticación en dos pasos es una gran idea: hacerlo con SMS no tanto
8 comentarios Facebook Twitter Flipboard E-mail

Las continuas amenazas de seguridad a las que nos vemos expuestos en nuestro uso de servicios online ha hecho que el tradicional binomio usuario/contraseña para autenticarnos en ellos no sea suficiente. La autenticación en dos pasos llegó para asegurar esas transacciones, pero este mecanismo no es infalible.

De hecho el sistema más popular para completar ese proceso de verificación de identidad es el envío de un mensaje SMS, pero como explican los expertos, este sistema no está exento de problemas de seguridad. Afortunadamente hay otras alternativas: te descubrimos las más destacadas.

Los SMS son (mucho) mejor que nada

Aunque como veremos a continuación los sistemas de verificación en dos pasos que dependen de los mensajes SMS no son la panacea, son mucho mejores que no activar esa verificación en dos pasos.

Authenti

La razón es simple: cuando no usas uno de estos sistemas, si alguien quiere robarte tus datos "solo" necesitará recabar tu usuario y contraseña. Con la autenticación en dos pasos basada en SMS, necesitará tu usuario, tu contraseña y acceder a tus mensajes de texto para poder suplantar tu identidad.

Es lo que hacen los ciberatacantes con técnicas como la llamada 'intercambio de SIM' (SIM swap) en la cual alguien logra los datos necesarios para hacerse pasar por ti y, con algo de ingeniería social, lograr que tu operadora móvil redirija tu número de móvil a otro. Hace tiempo que este tipo de técnicas se usan en países como el Reino Unido, donde un ciberatacante logró datos bancarios de su víctima a través de técnicas de phishing para luego utilizarlos para lograr redirigir su número a otro bajo su control. A partir de ahí el acceso a sus cuentas fue factible.

Tampoco ayuda el saber que los mensajes SMS se pueden interceptar gracias a que entre otras cosas el sistema de conexión SS7 en el que se basan las comunicaciones móviles es vulnerable a ciertos ataques, y gracias a ello es posible capturar esos mensajes y que el ciberatacante suplante nuestra identidad para lograr acceso a esos servicios protegidos con verificación en dos pasos vía SMS.

Google Authenticator, una gran opción

Para evitar ese tipo de amenazas lo ideal es evitar que alguien pueda "engañar" a nuestra compañía telefónica, y ahí es donde entran servicios como Google Authenticator (Google Play, App Store), cuya aplicación móvil es una excelente alternativa para este tipo de escenarios.

Hay otras muy similares como Authy (Google Play, App Store) que incluso ofrecen aún más opciones (es compatible con Google Authenticator, por ejemplo), y en ambos casos la idea es la misma: la aplicación genera un código en nuestro dispositivo cada pocos segundos, y ese "token" es el que sirve para iniciar sesión en el servicio que hayamos configurado con este sistema de verificación en dos pasos.

No todos los servicios que permiten la verificación en dos pasos son compatibles con estos sistemas y nos relegan a los SMS, pero cada vez más ofrecen este sistema que mejora de forma notable la seguridad de nuestras cuentas.

Nuestra recomendación, desde luego, es que siempre uséis este método aunque se limite a los mensajes SMS. Teniendo en cuenta que los robos masivos de contraseñas están a la orden del día, esa capa extra de seguridad os hará respirar (un poco) más tranquilos ante este tipo de amenazas.

Vía | HowtoGeek
En Xataka | Así funciona la tecnología con la que Google quiere matar las contraseñas, Trust Score

Comentarios cerrados
Inicio