No debes confiar en la autenticación a través de SMS

En el caso de la autenticación en dos pasos a través de SMS, se asume que que el control de un número de teléfono al que llegara un mensaje de texto es suficiente prueba de identidad para dar acceso a una cuenta

Siempre es una buena idea activar la verificación en dos pasos en todos los servicios a los que tienes acceso. Más allá de una contraseña fuerte, esta capa de seguridad adicional es mucho más efectiva a la hora de garantizar que solo tú puedes acceder a tus datos. La clave está en requerir dos factores para poder confirmar la identidad del usuario: algo que se sabe, algo que se tiene o algo que se es.

En el caso de la autenticación en dos pasos a través de SMS, se asume que que el control de un número de teléfono al que llegara un mensaje de texto es suficiente prueba de identidad para dar acceso a una cuenta. De la misma forma en que tener la tarjeta de débdito del banco y saber el PIN constituye los dos factores de identifiación en este caso. Sin embargo, ya se ha demostrado que el uso de SMS con este propósito es inseguro y por lo tanto no deberías utilizarlo

Qué es la autenticación multifactor

Cualquier método en el que se de acceso a un sistema computacional solo cuando el usuario presente diferentes piezas de evidencia de identidad, es consideradoautenticación multifactor (MFA).

La autenticación en dos pasos, abreviada 2FA (autenticación de dos factores) es un tipo de autenticación multifactor que requiere la combinación de dos componentes diferentes para confirmar la identidad. Tu cajero automático utiliza 2FA.

Esos factores se basan todos en la premisa de que sería muy difícil que un ente no autorizado puede hacerse con los dos al mismo tiempo. Pueden ser cosas como: un objeto (memoria USB, tarjeta, llave, etc.), algo que solo sepa el usuario (contraseña, PIN), algo que el usuario es (características biométricas como huellas, voz, patrón de tecleado, iris del ojo, etc.).

Sobre los SMS y la autenticación en dos pasos

Utilizar un dispositivo móvil como parte en la verificación de dos pasos puede resultar muy conveniente. Es algo que el usuario siempre lleva consigo, es fácil de usar y tiene conexión a internet o la red celular de llegar a ser necesaria para la autenticación. Ahora bien, utilizar los SMS para esto, no es la mejor manera de aprovecharlo.

Los mensajes de texto suelen ser el paso más débil en la verificación en dos pasos, son fáciles de interceptar y nunca debería asumirse su seguridad. Con simple ingeniería social un tercero malintencionado puede convencer a tu operador de redirigir tus mensajes a una tarjeta SIM diferente interceptando todos tus códigos de acceso. 

UN SMS NO ES ALGO QUE TIENES, ES ALGO QUE TE ENVÍAN

Aunque utilizar los SMS como un segundo paso es mejor que nada, en realidad no puede clasificarse como un factor correcto para ser considerado verificación en dos pasos. Un SMS no es ni algo que el usuario sabe, ni algo que tiene, ni algo que es. Es solo información que llega a un dispositivo que posee, siempre y cuando el operador los envíe a la persona correcta.

De hecho, a mediados de 2016, el Instituto Nacional de Estándares y Tecnología de los Estados Unidos declaró inseguros a los SMS como método de autenticación en dos pasos y dicen que deberían ser prohibidos en el futuro debido a varias preocupaciones.

Es muy fácil para cualquiera obtener un teléfono y el operador de un sitio web no tiene forma de verificar que quien recibe el código a través de SMS sea la persona correcta. No solo eso, sino que la autenticación en dos factores basada en SMS también es susceptible de ser secuestrada si el individuo utiliza un servicio VoIP.

Todo esto sin contar el grave defecto en Signaling System Number 7 (SS7), el protocolo que utilizan la mayoría de los operadores de telecomunicaciones para conectarnos unos a otros cuando hacemos llamadas, enviamos mensajes o compartimos datos por internet. Su infraesctructura desactualizada hace fácil que los hacekrs pueden redirigir llamadas y mensajes a sus propios dispositivos.

¿Cuáles son las alternativas?

En lugar de utilizar algo que te envía un tercero como un SMS, utiliza algo que tengas. Existen aplicaciones dedicadas como Google Authenticator, Authy, RSA SecurID, OTP Authenticator, etc.

Estas apps generan códigos que necesitarás para iniciar sesión cada vez que quieras ingresar a tus cuentas. El proceso varía un poco dependiendo de cada servicio, algunas veces deberás iniciar sesión escaneando un código QR o simplemente ingresando una clave alfanumérica.

Otra opción es utilizar códigos de copia de seguridad. Estos son muy útiles en caso de que pierdas tu teléfono y no puedas acceder a la aplicación de autenticación.Google te ofrece la creación y visualización de un grupo de códigos que puedes anotar en un lugar seguro para poder acceder a tus cuentas. Estos funcionan solo una vez.

Existen también productos físicos como el Yubikeyuna llave USB que funciona como factor de autenticación adicional. Obviamente su "desventaja" es que cuestan dinero, pero son mucho más cómodos que tener que esperar e ingresar códigos manualmente cada vea que queremos iniciar sesión. Con este tipo de opciones todo lo que tenemos que hacer es conectar el dispositivo a un puerto USB para confirmar nuestra identidad.