¿Es realmente segura la autenticación en dos pasos a través de SMS?

Escrito por: media el 17/11/16 9:00

ES_B_la inseguridad de la autenticación en dos pasos a través de SMS.jpg

La autenticación en dos factores, que no es lo mismo que la autenticación en dos pasos, consiste en requerir dos elementos al usuario de un servicio online para poder confirmar su identidad y darle acceso al mismo. Estos elementos pueden ser la combinación de algo que el usuario sabe, algo que tiene y algo que es (información biométrica).

Sin embargo, la modalidad de identificación que predomina es el sistema de autenticación o verificación en dos pasos (2SA). Este sistema, contrariamente a lo que se suele creer, no es un sistema de autenticación en dos factores (2FA) y, por tanto, no es igual de seguro que este último.

En este post te explicamos por qué.

Este post también está disponible en inglés.


La inseguridad de la autenticación en dos pasos vía SMS

Dada la supuesta capa adicional de protección que ofrece para acceder a servicios en la Red, la autenticación en dos pasos ha recibido elogios de publicaciones de referencia como Gizmodo, que en 2015 dedicó un extenso artículo en el que explicaba cómo activarla en los servicios de Apple, Google, Paypal, Facebook y Twitter, entre otros. Y recientemente Whatsapp también ha habilitado la opción de autenticarte en dos pasos, para ofrecer así mayor seguridad a sus usuarios.

De entre las modalidades de autenticación en dos pasos la más generalizada es sin duda la autenticación en dos pasos vía SMS, mediante la cual el ingreso en una determinada cuenta requiere una contraseña y la introducción de un código enviado a nuestro teléfono móvil.

Sin embargo, la autenticación en dos pasos no es segura, ya que no se trata en realidad de un sistema de autenticación en dos factores (multifactor), sino en un único factor: la contraseña y el código que se recibe vía SMS son dos cosas que el usuario sabe, y la segunda le ha llegado a través de un dispositivo móvil que es fácilmente hackeable.

En declaraciones a la revista Wired, el experto en seguridad Jonathan Zdziarski extiende un diagnóstico rotundo: la autenticación en dos pasos mediante SMS no puede considerarse multifactor.

Como prueba de ello, la autenticación en dos pasos a través SMS ha protagonizado en los últimos meses numerosas brechas de seguridad. En Estados Unidos, el activista DeRay McKesson vio cómo su cuenta de Twitter empezó a publicar tweets favorables a Donald Trump sin su consentimiento, y otras figuras políticas en países como Irán o Rusia han sufrido ataques parecidos en servicios teóricamente “protegidos” por una autenticación en dos pasos con SMS.

La autenticación en dos pasos y la autenticación multifactor no son lo mismo

La autenticación multifactor es la que requiere que el usuario utilice diferentes factores o datos para confirmar su identidad: algo que el usuario sabe (por ejemplo, una contraseña), algo que posee (un generador de claves) o algo que es (datos biométricos).

La cuestión es que un SMS no es en realidad algo que poseemos, sino algo que nos han enviado y que puede ser interceptado. Es por ello que la autenticación en dos pasos vía SMS no puede considerarse autenticación multifactor.


Los sistemas de autenticación multifactor
Combinación de dos o tres factores de autenticación

La capacidad de un entorno de verificar que un usuario es quien dice ser es lo que se llama autenticación.

Habitualmente, la autenticación se basa en algo que sabemos: nuestro email o nombre de usuario y una contraseña o número PIN que sólo nosotros debemos conocer. Pero este sistema de usuario y contraseña no garantiza la seguridad de nuestra información, puesto que en realidad se trata de un sólo factor: todo son datos que sabemos.

Para conferir una seguridad superior a nuestras cuentas en los distintos servicios online que usamos a diario - correo electrónico, cuentas bancarias, cuentas en distintos e-commerce en las que guardamos nuestros datos, etc - es recomendable que se apliquen mecanismos de autenticación multifactor, que se basan en la combinación de dos o más de los siguientes factores de autenticación:

  • algo que sabemos: contraseña o código PIN.
  • algo que poseemos: tarjeta de coordenadas, token RSA.
  • algo que somos (autenticación biométrica): huella dactilar, iris, voz, etc.

Si sólo se combinan dos factores, el mecanismo se llama autenticación o verificación en dos factores. Tanto a los mecanismos que combinan dos como a los que combinan tres factores de autenticación se les llama de autenticación fuerte o robusta. Algunos ejemplos serían:

  • la combinación de nuestra tarjeta (algo que poseemos) con nuestro número PIN (algo que sabemos) para sacar dinero del cajero, o para pagar en la mayoría de comercios.
  • el uso de tokens con códigos aleatorios (algo que poseemos) combinado con huellas dactilares (algo que somos).
  • el uso de una llave USB (algo que poseemos) combinado con reconocimiento biométrico de nuestro iris (algo que somos).
Fuente: Instituto Nacional de Ciberseguridad

Recibir y acceder a un SMS en el teléfono de otra persona puede parecernos inverosímil, pero en ocasiones no requiere más que simple ingeniería social para inducir a tu operador a que desvíe los mensajes a otra tarjeta SIM, a la cual llegarán todos los códigos de acceso que permiten dar el segundo paso en la autenticación en dos pasos. O, de forma menos sofisticada, te pueden robar el móvil.

Y por si ese tipo de acciones no fueran lo bastante frecuentes, el protocolo SS7 (Signaling System Number 7), empleado por la mayoría de operadores para conectar llamadas, mensajes y datos entre usuarios, es una infraestructura desactualizada que deja al descubierto vulnerabilidades en los smartphones, dejando vía libre a que los hackers tomen el control de cualquier terminal de forma mucho más fácil de la que nos imaginamos, y abriendo así las puertas a los datos personales de los usuarios.

Al cabo de estas evidencias, entidades con tanta credibilidad como el Instituto Nacional de Estándares y Tecnología (NIST) estadounidense han llegado a publicar comunicados tildando de insegura la autenticación en dos pasos vía SMS, en la que supone una campaña invertida respecto a las alabanzas vertidas por Gizmondo hace apenas un año.

La NIST y otras voces cada vez más numerosas defienden las modalidades de autenticación multifactor, como las apps capaces de generar códigos de un solo uso, los dispositivos físicos que ofrecen autenticación adicional –por ejemplo, llaves USB– o servicios como Google Prompt.

En Signaturit ofrecemos la autenticación en dos pasos vía SMS, pero no como base de nuestro proceso de firma, sino como un complemento de nuestra tecnología biométrica, que es la que nos permite identificar al firmante de forma única gracias a que recogemos sus datos biométricos del grafo.

Mediante tecnología biométrica capturamos datos del grafo del firmante - puntos que lo integran, posición, velocidad, aceleración y, en dispositivos que lo permiten, también la presión - de forma que en caso de que este último no reconozca su firma, se le puede requerir que la repita durante el transcurso de un proceso judicial.  

Al tener los datos biométricos recogidos en la realización de la primera firma, éstos se pueden cotejar con los datos biométricos recogidos en la repetición de la firma, y con ello demostrar su identidad y autoría de manera irrefutable.

Este post también está disponible en inglés.

New Call-to-action


POSTS RELACIONADOS


Etiquetas: Transformación Digital

Subscríbete al blog

Últimos posts