Llegamos a ustedes gracias a:



Noticias

La autenticación de dos factores basada en SMS podría estar a punto de desaparecer

[11/08/2016] Los mensajes SMS para la autenticación de dos factores podría convertirse en cosa del pasado. Una agencia federal de Estados Unidos está desalentando su uso.

El Instituto Nacional de Estándares y Tecnología (NIST, por sus siglas en inglés) está presionando por un cambio. Su más reciente borrador de su Pautas de Autenticación Digital advierte que los mensajes SMS pueden ser interceptados o redirigidos, haciéndolos vulnerables al hacking.

Muchas compañías, incluyendo Twitter, Facebook y Google, así como los bancos, ya utilizan la mensajería de texto de los teléfonos para añadir una capa extra de seguridad a las cuentas de los usuarios.

Funciona así: para acceder a las cuentas, el usuario no solo necesita la contraseña, sino también un código secreto enviado por la empresa mediante mensaje de texto. Idealmente, estos códigos de uso único son enviados a un número de teléfono designado para asegurar de que nadie los leerá.

Pero, aun así, los hackers han encontrado maneras de engañar al sistema. En el pasado, han utilizado malware para infectar los teléfonos inteligentes y secretamente redirigir los mensajes a otro dispositivo.

Otros han optado por hacerse pasar por sus víctimas. Esto permite que el hacker llame a la compañía telefónica y le pida que redireccione los mensajes de texto SMS a otro número telefónico.

El NIST también sugirió que los números de teléfono conectados a servicios basados en software, incluyendo VoIP, podría ser vulnerables a la piratería, poniendo los mensajes SMS en riesgo de ser leídos.

La agencia federal recomienda en cambio que la industria tecnológica encuentre alternativas mejores. Esto puede incluir seguir enviando las contraseñas de uso único, pero a través de una aplicación segura para teléfono inteligente.

Por ejemplo, Google ya ofrece esta función con su aplicación Authenticator, que le permitirá evitar las redes telefónicas y generar un código directamente en el teléfono inteligente.

No está claro cómo la industria tecnológica podría reaccionar a la propuesta de la agencia federal. Pero los proveedores de ciberseguridad ya llegan con formas para asegurar mejor las cuentas y dispositivos de los usuarios a través del reconocimiento de huellas digitales, tokens de hardware y otros métodos.

Keith Graham, CTO de SecureAuth, aprobó la propuesta del NIST. Su compañía se especializa en la autenticación multifactor, y afirmó que los hackers están encontrando cada vez más formas de llegar a las claves de acceso contenidas en los mensajes SMS.

"Los días de los enfoques convencionales de dos factores ya no son suficientes para la seguridad, afirmó en un correo electrónico.

Sin embargo, la mensajería SMS para la autenticación de dos factores sigue siendo una opción popular para las empresas que quieren garantizar las cuentas de sus usuarios. "Ninguna otra plataforma tiene el mismo nivel de la ubicuidad, afirmó Kevin Panzavecchia, CTO del proveedor de seguridad de redes móviles HAUD, en un correo electrónico.

Las vulnerabilidades del sistema podrían repararse a través de firewalls de red móvil que puedan filtrar los posibles abusos, añadió.

El NIST está buscando comentarios del público sobre su borrador de propuesta.