El descalabro de Facebook deja una lección importante: los SMS no sirven como sistema de autenticación en dos pasos

El descalabro de Facebook deja una lección importante: los SMS no sirven como sistema de autenticación en dos pasos

41 comentarios Facebook Twitter Flipboard E-mail
Sms2

533 millones de usuarios han quedado "desnudos". La última y escandalosa filtración de datos de usuarios de Facebook es la enésima demostración de cómo una empresa negligente pone en riesgo no ya nuestra privacidad, sino nuestra seguridad e incluso nuestros ahorros.

Los datos filtrados exponen ahora a millones de usuarios a ser víctimas de ataques de suplantación de identidad y otros ciberataques dirigidos. El peligro es enorme, y este nuevo descalabro de Facebook es la última advertencia de un tema delicado: el SMS no es un buen método de autenticación en dos pasos.

Ten miedo. Mucho miedo.

Nuestra dependencia del mundo digital es cada vez mayor, y aunque las ventajas de la revolución móvil son evidentes, también dejan efectos colaterales nada agradables.

Hasta no hace mucho parecía bastar con una protección de un único paso (usuario/contraseña), pero los robos masivos de contraseñas y malas prácticas por parte de los usuarios (usar y reutilizar '123456' como contraseña es una idea atroz) hicieron que los métodos de autenticación en dos pasos (2FA) fueran mucho más recomendables a la hora de proteger cuentas en todo tipo de servicios.

Ya no valía solo con meter usuario y contraseña. Ahora también necesitabas verificar tu identidad con una clave de paso, normalmente un PIN que te llegaba a través de un mensaje SMS al móvil.

La idea era fantásica... o lo parecía. Solo nosotros estamos (teóricamente) en poder de nuestro móvil, así que ese PIN solo nos podía llegar a nosotros, ¿no?

No.

En filtraciones como las que han ocurrido con Facebook, los datos ya no son tan solo listas de correos electrónicos y de contraseñas asociadas. En esos datos vienen nombres completos, números de teléfono móvil —igual quieres borrarlo—, pero también el sexo y la ubicación de esos usuarios. La amenaza que plantean esos datos es absolutamente enorme.

La respuesta de Facebook al robo ha sido asombrosa, porque su filosofía es la de la inacción. No tienen planes para notificar a los usuarios afectados, que aún así pueden saber si forman parte de la filtración gracias al reputado servicio HaveIBeenPwned. Un reciente cambio en este servicio permite no solo saber si nuestro correo electrónico se ha filtrado, sino también si lo ha hecho nuestro número móvil y el resto de datos asociados a esos parámetros.

¿Qué pueden hacer "los malos" con los datos filtrados por Facebook?

Lo es porque todos esos datos le dan a ciberdelincuentes una oportunidad de oro para hacer todo tipo de ataques dirigidos, tanto de phishing (con correos que alguien que conocemos nos manda, "oye, ahora sí que puedo fiarme") como de suplantación de identidad.

Sims

No es difícil imaginar que esos datos puedan servir para que un delincuente logre suplantar nuestra identidad y lograr por ejemplo un duplicado de nuestra tarjeta SIM. El inquietante SIM swapping está a la orden del día, y si somos víctimas de un ataque así estaremos en un verdadero aprieto, porque de repente nuestro móvil dejará de funcionar y el atacante aprovechará para poder hacer todo tipo de operaciones usando ese móvil.

Será él quien reciba el PIN para hacer esa transferencia bancaria o completar esa compra en Amazon, no tú, pero serás tú quien pague el pato (y la factura).

Las peligrosas ramificaciones de un robo de datos como este son insondables, y pueden llevar también a otros ataques de ingeniería social que permitan a otras personas recolectar aún más datos nuestros o convencernos para que les mandemos nuestro DNI (ni se os ocurra), y de nuevo las consecuencias de esos despistes pueden ser fatales.

Hay que decir adiós SMS como método de autenticación en dos pasos

Soy un poco pesado con esto. Lo dije hace cinco años y lo repetí al año siguiente.  Proteger tus cuentas con autenticación en dos pasos es una gran idea, pero hacerlo con SMS no lo es tanto.

Fido

Es cierto los SMS son mejor que nada. De verdad que lo es. El problema es que este último desastre que hemos visto en Facebook pone de relieve que esos números de móvil ya no están tan seguros (algo que ya sabíamos hace tiempo), y que hay alternativas mucho mejores a la hora de implementar sistemas 2FA.

¿Cuáles? Para empezar, las aplicaciones móviles específicas para este propósito. Hay varias populares —Google Authenticator, Microsoft Authenticator, Authy...—, pero a ellas se suman otros métodos aún más seguros como los dispositivos físicos de autenticación, que a menudo se presentan en forma de "llaves USB".

Expertos en ciberseguridad e incluso organizaciones como Amnistía Internacional recomiendan estos 'tokens físicos'. Los más célebres son probablemente las de Yubikey, pero hay otras muchas alternativas, incluidas las Titan que Google desarrolló hace tiempo.

Las soluciones están ahí, pero la industria sigue anclada en el SMS

Sabemos cuál es el problema y sabemos que hay soluciones para (al menos) aliviarlo, así que, ¿qué pasa? ¿Por qué este tipo de alternativas no logran cuajar en el mercado?

Ing

En primer lugar, por la condena de la comodidad y la conveniencia. Los SMS son ya un viejo conocido que favorece la accesibilidad a estos sistemas de autenticación en dos pasos. Esta tecnología forma parte de nuestros móviles, el usuario no tiene que hacer nada para aprovecharla y además, la conoce y confía en ella (aunque quizás no debería hacerlo tanto).

Utilizar métodos más seguros como los citados requiere un cambio y un esfuerzo, algo que a los seres humanos no nos hace mucha gracia. Da igual que el beneficio sea claro: somos resistentes al cambio, y eso de tener que instalar una aplicación móvil nueva e ir usándola en nuestros dispositivos "con lo bien que estábamos con los SMS" se hace difícil.

Pero en realidad el verdadero problema es de la industria, que sigue absolutamente anclada en los SMS. Salvo en el caso de ciertos servicios específicos, hay numerosos escenarios en los que el soporte de apps como Google Authenticator (no digamos ya de llaves de seguridad tipo Yubikey) son un anatema para las empresas.

El ejemplo más claro y delicado son los bancos: os deseo suerte a la hora de intentar encontrar uno que funcione con alguna de las alternativas mencionadas, porque (al menos que yo sepa) no lo hay. Saben que existen este tipo de sistemas, pero de ahí a implementarlos media un mundo.

Las grandes de la tecnología son las que poco a poco comienzan a integrar estos sistemas en sus servicios. El Proyecto FIDO2/WebAuthn de la FIDO Alliance y el protocolo U2F (Universal 2nd Factor) que potencian soluciones como las que ofrece Yubikey van poco a poco soportándose en más y más servicios, y aunque muchos son interesantes por su potencial papel como intermediarios de una expansión masiva de estas tecnologías, lo cierto es que el SMS manda de momento en nuestro mundo.

Tened cuidado ahí fuera.

Comentarios cerrados
Inicio