¿Es segura la autenticación de dos factores por SMS?

0 192 3 minutos de lectura

Con la adopción generalizada de 2FA y MFA, los ciberdelincuentes han ideado una forma de eludir esta medida de seguridad con una técnica simple. Al aprovechar las sencillas preguntas de seguridad que los proveedores de servicios móviles hacen a los usuarios cuando desean cambiar de operador pero mantener su número de teléfono, los actores de amenazas pueden hacerse pasar por víctimas desprevenidas robando efectivamente su número de teléfono móvil.

Un estudio realizado por investigadores de Princeton descubrió que las empresas de telecomunicaciones de prepago de América del Norte, en la mayoría de los casos, permitirían a los clientes, o cualquier persona que pretendiera ser un cliente, transferir su número con una sola respuesta de seguridad correcta.

Esto hace que sea bastante fácil para alguien hacerse pasar por un objetivo y obtener acceso a su número de teléfono y, en consecuencia, a la clave / PIN de autenticación 2FA.

Comentando la noticia están los siguientes profesionales de la seguridad:

Dewald Nolte, director comercial, Entersekt:

Hay dos enfoques que puede utilizar para combatir los ataques de intercambio de SIM; a saber, detección y prevención. Debido a la forma en que la industria utiliza códigos de verificación basados en SMS, la detección no siempre es una forma infalible de eliminar este tipo de ataque. Ciertamente, puede hacer la vida más difícil para el perpetrador, pero existen técnicas avanzadas disponibles para sortear la mayoría de las técnicas de detección. Por eso es ideal un enfoque de prevención. Una solución de autenticación omnicanal se une criptográficamente al dispositivo de un usuario, eliminando la dependencia de la tarjeta SIM para la autenticación y eliminando así por completo los ataques de intercambio de SIM.

David Richardson, director sénior de gestión de productos de especialistas en seguridad móvil Estar atento:

Primero, los usuarios deben asegurarse de que sus cuentas móviles tengan buena seguridad, como códigos PIN o preguntas de seguridad adicionales. Si es posible, evite el uso de mensajes SMS para la autenticación de dos factores; hay varias aplicaciones de autenticación que brindan un servicio similar. Aunque los mensajes SMS son vulnerables, es mejor usarlos para 2FA que no usar nada en absoluto. Sin embargo, lo mejor de todo es utilizar herramientas MFA no basadas en SMS.

Kieran Roberts, jefe de pruebas de penetración en A prueba de balas:

El intercambio de Sim es, en esencia, solo otro ataque de ingeniería social.

En este caso, un atacante se hace pasar por un usuario para transferir el número de teléfono del objetivo, de la misma manera que los usuarios pueden transferir su antiguo número de móvil a un nuevo teléfono cuando se mueven entre contratos / proveedores, etc.

Ahora que 2FA y MFA se están volviendo más omnipresentes, los atacantes tienen otra capa de seguridad para moverse, y el intercambio de SIM es una forma simple y efectiva de intentar hacerlo, siempre que sean capaces de obtener suficientes datos personales hacerse pasar por el objetivo.

Los operadores de telefonía móvil están mejor posicionados para defender a los usuarios de este tipo de ataques. Una solución relativamente simple sería hacer cumplir una verificación de SMS MFA ANTES de mover el número, lo que garantizaría que el usuario que mueve el número tenga acceso físico a la SIM antes de que se lleve a cabo la transferencia.

En general, el mejor consejo para el consumidor es proteger su información personal: no responda a llamadas, SMS o correos electrónicos solicitando información personal, ya que podrían ser intentos de phishing.

Algunos proveedores pueden permitir que los usuarios establezcan una contraseña / PIN que se debe proporcionar antes de que se pueda transferir un número. Obviamente, esto tiene la desventaja de que si se olvida la contraseña / PIN, el usuario no podrá transferir su número al mover contratos oa un proveedor diferente.

Cabe señalar que usar SMS MFA sigue siendo mucho mejor que no usar ningún MFA en absoluto, pero hay otras formas de garantizar 2FA, como Google Authenticator o Microsoft Authenticator, por nombrar algunas. Dado que estas aplicaciones no utilizan el número de teléfono del usuario, un vector de ataque Sim Swapping no funcionaría contra estos mecanismos MFA.

Michael Barragry, jefe de operaciones y consultor de seguridad en edgecan:

La forma más sencilla de protegerse de un ataque de intercambio de SIM es evitar el uso de SMS para la autenticación multifactor siempre que sea posible. La mayoría de las aplicaciones y servicios modernos que admiten 2FA ofrecen implementaciones de contraseñas de un solo uso basadas en el tiempo (TOTP), como Google Authenticator.

Si SMS es la única opción, muchos operadores de telefonía móvil admiten la opción de agregar un PIN o contraseña a la propia SIM. Esto significa que un atacante necesitará esta información adicional para comprometer con éxito la cuenta SIM. Sin embargo, si un usuario tiene la mala suerte de ser atacado por una persona con información privilegiada dentro de su operador de telefonía móvil, este PIN / contraseña adicional se omitirá fácilmente.

Las organizaciones deben saber hasta qué punto están expuestas actualmente a los ataques de intercambio de SIM. Deben alentar o exigir que sus usuarios eviten la 2FA basada en SMS para aplicaciones especialmente críticas o sensibles.

TOTP es la principal alternativa 2FA. Desde una perspectiva funcional, también ofrece la ventaja de permitir a los usuarios acceder a códigos 2FA incluso si no tienen cobertura de operador de telefonía móvil. Hay muchas soluciones físicas disponibles en la actualidad, como RSA SecurID y Yubikey, aunque estas brindan el paso logístico adicional de administrar dispositivos físicos, atender dispositivos perdidos, etc.

Cada método 2FA conlleva sus propios desafíos y riesgos que las organizaciones deben conocer. Por ejemplo, si está utilizando una aplicación con 2FA entregada a través de TOTP, está confiando implícitamente en que la aplicación está almacenando la semilla de forma segura en su extremo. Para un servicio muy crítico.

¿Es segura la autenticación de dos factores por SMS?

Deja una respuesta Cancelar la respuesta

Honda puede haber sido víctima de un ataque de ransomware

Cómo ver Netflix gratis para siempre

Estúpidos trucos terminales: el loro de baile de ASCII Party

Yara Gambirasio: las etapas de la amarilla hasta la captura del presunto culpable

Efecto Instagram pelado

Cómo comprobar qué versión de PostgreSQL se está ejecutando desde CLI

Lista de los mejores canales de Telegram 2023

Cómo ver la televisión sin antena

Cómo eliminar Microsoft AutoUpdate de Mac

Cómo eliminar el icono de círculo con + signo en Android

Cómo descargar videos de YouTube con subtítulos

Las soluciones de todos los capítulos de Adventure Escape Mysteries

Cómo otorgar privilegios de root a un usuario en Linux

Problemas para cargar el teléfono: triángulo amarillo con signo de interrogación

Cómo instalar Eclipse IDE en Ubuntu 20.04

Cómo ver IPTV con VLC: guía completa

Publicaciones relacionadas

El minero de ‘Hidden Bee’ usa publicidad maliciosa para atraer a las víctimas

Malwarebytes informa sitios de WordPress comprometidos que ofrecen malware a los usuarios

La fortuna favorece al audaz.

Ransomware: ¿una bendición o una maldición?

Deja una respuesta Cancelar la respuesta

Honda puede haber sido víctima de un ataque de ransomware