Maldita Tecnología
05/03/2020

Por qué deberías plantearte otro método de verificación en dos pasos que no sea por SMS: es el más inseguro

Nos habéis preguntado para qué sirve la verificación en dos pasos que piden algunos servicios de forma opcional como, por ejemplo, el correo electrónico de Google y si hacerlo por SMS es seguro. Antes que nada, os adelantamos que es una de las opciones más inseguras y que es preferible usar apps o dispositivos que sirven para este cometido.

La verificación en dos pasos o doble factor de autenticación (2FA) es una técnica que se utiliza para confirmar que una persona es quien dice ser cuando quiere acceder a un servicio. Seguro que recuerdas el día que instalaste WhatsApp y como no podías acceder a los chats hasta que te enviaban un código de números por mensajes de texto. Es una capa de protección adicional sobre los controles de acceso clásicos, como las contraseñas, para que sea más difícil suplantar tu identidad y acceder a tus cuentas.

El envío de un SMS con un código de autenticación es un método sencillo y rápido, ya que es un canal de comunicación directo y el usuario no tiene que hacer gran cosa más allá de esperar a que llegue el mensaje. ¿Por qué es tan inseguro? “Los SMS son susceptibles de ser atacados usando alguno de los diferentes métodos que han implementado hackers para engañar a los operadores móviles”, explica a Maldita.es Pino Caballero, doctora en Criptología y Seguridad Informática de la Universidad de La Laguna.

Uno de ellos es el intercambio de SIM o “SIM-swapping”, que funciona de la siguiente manera: la persona que quiere acceder a tu teléfono pide un duplicado de tu tarjeta SIM al operador móvil, haciéndose pasar por ti (en la mayoría de los casos, sólo tiene que saber tu nombre, y quizás el DNI o alguna pregunta de seguridad). Al emitir una nueva SIM, los operadores bloquean la antigua, por lo que tú te quedarás sin línea y la persona que se hace pasar por ti tendría acceso a los mensajes de texto.

via GIPHY

Muchos bancos, como Santander o La Caixa, recurren a esta vía para autorizar transferencias de dinero, o sea que imagina lo que podría conseguir una persona con acceso a tu teléfono una vez averigüe cuál es tu banco.

Caballero opina que “actualmente no existe ningún canal totalmente seguro”: “La autenticación en dos pasos en la que uno de ellos se basa en el envío de un SMS  o una llamada de teléfono es, en general, menos seguro que otros esquemas de dos pasos basado en otros factores como por ejemplo una característica biométrica o el uso de un token físico de seguridad que se posea”, dice.

Informes como este de Amnistía Internacional avalan este argumento, y resaltan que la 2FA es importante, pero no hay que pensar que es un método infalible para no ser víctima de ataques como el phishing o el que hemos mencionado antes. Recomiendan usar en vez los tokens físicos: son pequeños dispositivos que actúan como contraseñas en sí. Pueden ser un USB que enchufas al ordenador cuando se va a iniciar sesión y que te identifiquen, por ejemplo. Es el método que utiliza Google con sus empleados.

Y, si no, apps que instalas en el móvil y que cumplen la misma función: en vez de recibir un código de verificación por SMS, lo recibes en una app. Una de ellas es Authy, que en su página web tiene incluido un directorio de todos los servicios con los que es compatible y además explica cómo activar la 2FA usando la aplicación. En este enlace, la Oficina de Seguridad del Internauta explica cómo activar la 2FA para varios servicios.

Otros artículos de Maldita.es