La autenticación de inicio de sesión por SMS es muy riesgosa, ¿cuál es la alternativa?

Según Yahoo, los códigos de autenticación de un solo uso (OTP) enviados por SMS todavía se utilizan ampliamente como una segunda capa de protección en el proceso de autenticación de dos factores, ayudando a los usuarios a iniciar sesión en aplicaciones bancarias, de correo electrónico o de redes sociales.

Sin embargo, Yahoo advierte que los SMS son uno de los métodos de seguridad más débiles porque son muy vulnerables a ataques de phishing.

Una investigación reciente de Bloomberg Businessweek y Lighthouse Reports reveló un riesgo mayor: terceros podrían acceder a estos códigos OTP. En concreto, la poco conocida empresa suiza de telecomunicaciones Fink Telecom Services tuvo acceso a más de un millón de mensajes con códigos de autenticación de dos factores en junio de 2023.

Como intermediario entre las empresas que generan los códigos de autenticación y los usuarios finales, Fink Telecom Services tiene derecho a procesar y ver el contenido de los mensajes. Lo preocupante es que esta empresa ha sido sospechosa de participar en actividades de monitoreo de usuarios e interferir con cuentas personales.

Los códigos OTP filtrados provenían de grandes empresas como Google, Meta, Amazon, Tinder, Snapchat, Binance, Signal, WhatsApp y numerosos bancos europeos. Los mensajes se enviaron a usuarios de más de 100 países.

Según Yahoo, la principal razón por la que la autenticación de dos factores por SMS no es segura es que las empresas suelen contratar intermediarios para enviar mensajes SMS a un coste menor, mediante grandes contratos con múltiples operadores y un sistema de "títulos globales" (direcciones de red utilizadas para conectar entre países). La desventaja de este sistema es que las empresas contratantes no trabajan directamente con unidades como Fink Telecom Services, sino a través de subcontratistas, lo que dificulta la seguridad de los datos.

El Sr. Pham Manh Cuong, fundador de Wischain Company Limited, explicó que el método de autenticación de dos factores a través de mensajes SMS ya no es seguro hoy en día porque los atacantes cibernéticos son cada vez más sofisticados y aprovechan fácilmente las vulnerabilidades del sistema de seguridad para obtener acceso.

Una de las formas más comunes de ataques de phishing es cuando se utilizan mensajes, correos electrónicos o sitios web aparentemente confiables para engañar a los usuarios para que proporcionen información confidencial, como nombres de usuario, contraseñas o códigos OTP.

Además, el intercambio de SIM también es una seria amenaza. Los estafadores pueden robar el número de teléfono de la víctima, desde donde pueden recibir códigos de autenticación por SMS.

Además, muchos usuarios todavía tienen la costumbre de instalar software de origen desconocido, especialmente en dispositivos Android, lo que da lugar a spyware o keyloggers que pueden grabar en secreto lo que se escribe en el teclado, robando así información de acceso.

Si bien la autenticación por SMS todavía se considera una cierta capa de protección, en comparación con métodos modernos como Google Authenticator (una aplicación que genera códigos de autenticación aleatorios que cambian cada 30 segundos y es independiente de las redes móviles), los SMS muestran cada vez más sus debilidades.

Fuente: https://nld.com.vn/xac-thuc-hai-yeu-to-qua-sms-rat-rui-ro-nen-dung-ung-dung-nao-196250621114624897.htm