A día de hoy se obliga, en multitud de servicios, a la utilización de un segundo factor de autenticación, siendo entre ellos el más común y cómodo el SMS. Pero este método no es tan seguro como pueda parecer, como ya se comprobó tras el incidente de seguridad de Reddit en 2018, en el que la vía principal de ataque fue interceptando los SMS de autenticación de sus empleados.
Este tipo de autenticación por medio de SMS conlleva riesgos, ya que puede ser superada por los atacantes de diversas y sofisticadas formas:
- A través de ingeniería social se puede conseguir un cambio de tarjeta SIM.
- Descarga de aplicaciones maliciosas en el dispositivo que realicen la lectura de los SMS recibidos.
- Si el atacante consigue el dispositivo móvil, y este está con la configuración por defecto en la que las notificaciones se pueden previsualizar sin desbloquear el dispositivo, el atacante puede llegar a obtener el código SMS.
Esto no quiere decir que haya que evitar usar el doble factor de autenticación por SMS, de hecho, es una muy buena opción, si no existe otra alternativa más segura, ya que muchos servicios aún no disponen de otros métodos de 2FA.
La alternativa más segura y que realmente podemos recomendar para mantener tus cuentas seguras, es reemplazar el segundo factor de autenticación de SMS por aplicaciones como Authy, Microsoft Authenticator o Google Authenticator.
Referencias
Deja una respuesta