En estos días, parece que cada sitio web que visita intenta alentarlo a utilizar la autenticación de dos factores (2FA).
Una de las formas más comunes de usar 2FA es ingresar un código único desde su dispositivo móvil. Normalmente, recibe el código en un mensaje de texto o utiliza una aplicación 2FA de terceros para generar uno.
Los dos métodos son formas populares de usar códigos debido a su conveniencia. Sin embargo, ambos métodos también son débiles desde el punto de vista de la seguridad. Y debido a que su código 2FA es tan seguro como la tecnología utilizada para entregarlo, las debilidades son importantes.
Entonces, ¿qué pasa con el uso de SMS y aplicaciones de terceros para acceder a sus códigos? ¿Y existe una alternativa igualmente conveniente que sea más segura? Vamos a explicar todo. Sigue leyendo para saber más.
Cómo funciona la autenticación de dos factores
Tomemos un momento para analizar cómo funciona la autenticación de dos factores. Sin entender la mecánica detrás de la tecnología, el resto de este artículo no tendrá mucho sentido.
En términos generales, 2FA agrega una capa adicional de seguridad a su cuenta. También conocido como autenticación multifactorial, las credenciales de inicio de sesión consisten no solo en una contraseña, sino también en una segunda información a la que solo tiene acceso el legítimo propietario de la cuenta.
2FA viene en muchas formas diferentes Los pros y contras de los tipos y métodos de autenticación de dos factores Los pros y los contras de los métodos y tipos de autenticación de dos factores Los métodos de autenticación de dos factores no son iguales. Algunos son demostrablemente más seguros y seguros. Aquí le presentamos los métodos más comunes y cuáles satisfacen mejor sus necesidades individuales. Lee mas . En su nivel más básico, podría ser algo tan simple como preguntas de seguridad (porque nadie más podría conocer el apellido de soltera de su madre. Por qué está respondiendo la contraseña). Preguntas de seguridad incorrectas. Por qué está respondiendo la contraseña. Preguntas de seguridad incorrectas. ¿Cómo responde en línea? ¿Preguntas de seguridad de la cuenta? ¿Respuestas honestas? Desafortunadamente, su honestidad podría crear una grieta en su armadura en línea. Echemos un vistazo a cómo responder preguntas de seguridad de manera segura. Lea más o su mascota favorita). En el extremo más complicado, podría ser una identificación biométrica, como una exploración de la retina o una huella dactilar.
Por qué debería evitar la verificación de SMS
SMS goza de una posición como la forma más accesible de acceder y utilizar códigos 2FA. Si un sitio ofrece inicios de sesión de autenticación de dos factores, es casi seguro que ofrezca SMS como una de las opciones.
Pero SMS no es una forma segura de usar 2FA. Tiene dos vulnerabilidades clave.
En primer lugar, la tecnología es susceptible a los ataques de SIM Swap . No hace falta mucho para que un pirata informático realice un SIM Swap. Si tienen acceso a otra información personal, como su número de seguro social, pueden llamar a su proveedor y mover su número a una nueva tarjeta SIM.
En segundo lugar, los hackers pueden interceptar mensajes SMS . Todo vuelve al sistema de enrutamiento de teléfonos del Sistema de señalización n.º 7 (SS7). La metodología se diseñó en 1975, pero todavía se usa casi a nivel mundial para conectar y desconectar llamadas. También maneja traducciones numéricas, facturación prepaga y, lo más importante, mensajes SMS.
Como era de esperar, esta tecnología de 1975 está llena de agujeros de seguridad. Así es como el experto en seguridad Bruce Schneier describió los defectos:
"Si los atacantes tienen acceso a un portal SS7, pueden reenviar sus conversaciones a un dispositivo de grabación en línea y redirigir la llamada a su destino previsto [...] Significa que un delincuente bien equipado podría tomar sus mensajes de verificación y usarlos antes que usted ' incluso los he visto ".
Por supuesto, descubrir que un ciberdelincuente ha pirateado su Facebook Cómo saber si su cuenta de Facebook ha sido pirateada Cómo averiguar si su cuenta de Facebook ha sido pirateada Dada la cantidad de datos que hemos agregado a nuestros perfiles, es más importante que nunca para asegurarse de estar al tanto de la configuración de privacidad de Facebook. Leer más cuenta está lejos de ser ideal. Pero la situación es más aterradora cuando considera otros usos de 2FA. Un ciberdelincuente podría robar los códigos que usa en su banca en línea, o incluso iniciar y completar transferencias de dinero. 6 Aplicaciones para ayudarlo a transferir dinero entre amigos. 6 Aplicaciones para ayudarlo a transferir dinero entre amigos. A veces necesita enviar dinero a amigos de forma rápida y segura. . Aquí hay seis de las mejores opciones disponibles. Lee mas .
Además, Schneier también afirma que cualquiera puede comprar acceso a la red SS7 por alrededor de $ 1, 000. Una vez que tienen acceso, pueden enviar una solicitud de ruta. Para completar el problema, la red puede no autenticar el origen de la solicitud.
Recuerde, usar autenticación de dos factores a través de SMS es mejor que dejar 2FA deshabilitado. Y es poco probable que te conviertas en una víctima. Sin embargo, si comienza a sentirse un poco preocupado, debe seguir leyendo. Muchas personas aceptan que los SMS son inseguros y recurren a aplicaciones de terceros.
Pero eso puede no ser mucho mejor.
Por qué deberías evitar las aplicaciones 2FA
La otra forma común de usar códigos 2FA es instalar una aplicación de teléfono inteligente dedicada. Hay muchos para elegir. Se puede decir que Google Authenticator es el más reconocible, pero no necesariamente el mejor. Hay muchas alternativas disponibles: echa un vistazo a Authy, Authenticator Plus y Duo.
¿Pero qué tan seguras son las aplicaciones especializadas de 2FA? Su mayor debilidad es su dependencia de una clave secreta .
Demos un paso atrás por un segundo. En caso de que no lo sepa, cuando se registre para muchas de las aplicaciones por primera vez, deberá ingresar una clave secreta. El secreto se comparte entre usted y el proveedor de la aplicación.
Cuando accede a un sitio, el código que crea la aplicación se basa en una combinación de su clave y la hora actual. En el mismo momento, el servidor está generando un código usando la misma información. Los dos códigos deben coincidir para que se otorgue el acceso. Suena sensato
Entonces, ¿por qué las teclas son el punto débil? Bueno, ¿qué sucede si un ciberdelincuente logra acceder a la base de datos de contraseñas y secretos de una empresa? Cada cuenta sería vulnerable: el atacante podría ir y venir Cómo verificar si alguien más está accediendo a su cuenta de Facebook Cómo verificar si alguien más está accediendo a su cuenta de Facebook Es siniestro y preocupante si alguien tiene acceso a su cuenta de Facebook sin su conocimiento. A continuación, le indicamos cómo saber si lo han violado. Lea más a voluntad.
En segundo lugar, el secreto se muestra en texto plano o como un código QR; no se puede usar con hash ni hashing. Lo que todo esto MD5 Hash Stuff significa realmente [Explicación de la tecnología] Lo que todo esto MD5 Hash Stuff significa realmente [Explicación de la tecnología] Aquí hay un resumen completo de MD5, hashing y una pequeña visión general de las computadoras y criptografía. Lee mas . Probablemente también esté en texto sin formato en los servidores de la compañía.
La clave secreta es la falla fundamental en la Contraseña de un solo uso basada en el tiempo (TOTP) que utilizan las aplicaciones especializadas. Es por eso que una clave U2F física siempre es una opción más segura.
Defectos en diseño y seguridad para aplicaciones 2FA
Por supuesto, las posibilidades de que un pirata cibernético piratee las bases de datos necesarias de una aplicación de terceros son bastante pequeñas. Pero su aplicación también podría sufrir fallas de seguridad básicas en su diseño.
Administrador de contraseñas popular LastPass 8 maneras fáciles de aumentar tu seguridad de LastPass 8 maneras fáciles de mejorar tu seguridad de LastPass Es posible que estés utilizando LastPass para administrar tus muchas contraseñas en línea, pero ¿lo estás usando bien? Aquí hay ocho pasos que puede seguir para hacer que su cuenta de LastPass sea aún más segura. Read More cayó víctima en diciembre de 2017. La entrada de blog de un programador en Medium reveló claves secretas de 2FA a las que se podía acceder sin una huella digital, contraseña u otra medida de seguridad.
La solución no fue complicada. Al acceder a la actividad de configuración de la aplicación LastPass Authenticator (com.lastpass.authenticator.activities.SettingsActivity), se puede ingresar al panel de configuración de la aplicación sin ningún tipo de control. Desde allí, puede presionar Atrás una vez para acceder a todos los códigos 2FA.
LastPass ahora ha solucionado el problema, pero quedan preguntas. Según el programador, había tratado de contarle a LastPass el problema durante siete meses, pero la compañía nunca lo solucionó. ¿Cuántas otras aplicaciones de terceros 2FA son inseguras? ¿Cuántas vulnerabilidades no corregidas conocen los desarrolladores pero demoran el parcheo?
Qué hacer en su lugar: use las teclas U2F
En lugar de confiar en SMS y 2FA para sus códigos, debe usar las claves universales de segundo factor ¿Qué son las claves U2F y dónde están respaldadas? ¿Qué son las claves U2F y dónde se admiten? Las claves U2F son una de las mejores maneras de mantener sus cuentas seguras y protegidas. Pero, ¿dónde se admiten las claves U2F? Leer más (U2F). Son la forma más segura de generar códigos y acceder a sus servicios.
Ampliamente considerado como una versión de segunda generación de 2FA, simplifica y fortalece el protocolo actual. Además, usar las teclas U2F es casi tan conveniente como abrir un mensaje SMS o una aplicación de terceros.
Las teclas U2F usan una conexión NFC o USB. Cuando conecte su dispositivo a una cuenta por primera vez, generará un número aleatorio llamado "Nonce". El Nonce se clasifica con el nombre de dominio del sitio para crear un código único.
A partir de entonces, puede implementar su clave U2F conectándola a su dispositivo y esperando a que el servicio la reconozca.
Entonces, ¿cuál es el inconveniente? Bueno, aunque U2F es un estándar abierto, aún cuesta dinero comprar una clave física U2F. Y tal vez más preocupante, estás en riesgo de robo.
Una clave U2F robada no insegura automáticamente su cuenta; un hacker aún necesitaría saber su contraseña. Pero en un área pública, un ladrón podría haberle visto ingresar su contraseña desde lejos, antes de robar sus pertenencias.
Las claves U2F pueden ser costosas
Los precios varían considerablemente entre fabricantes, pero puede esperar pagar entre aproximadamente $ 15 y $ 50.
Idealmente, desea comprar un modelo que sea "FIDO Certified". La Alianza FIDO (Fast IDentity Online) es responsable de lograr la interoperabilidad entre las tecnologías de autenticación. Los miembros incluyen a todos, desde Google y Microsoft, hasta Bank of America y MasterCard.
Al comprar un dispositivo FIDO, puede estar seguro de que la clave U2F funcionará con todos los servicios que usa todos los días. Consulte la clave DIGIPASS SecureClick U2F si desea comprar una.
DIGIPASS SecureClick FIDO U2F Clave de seguridad DIGIPASS SecureClick FIDO U2F Clave de seguridad Comprar ahora En Amazon $ 39.00
El 2FA inseguro es aún mejor que el 2FA
En resumen, las claves universales de segundo factor proporcionan un medio feliz entre la facilidad de uso y la seguridad. SMS es el enfoque menos seguro, pero también el más conveniente.
Y recuerde, cualquier 2FA es mejor que no 2FA. Sí, podría demorar unos 10 segundos adicionales para iniciar sesión en ciertas aplicaciones, pero es mejor que sacrificar su seguridad.