25Aug
Los sistemas de autenticación de dos factores no son tan infalibles como parecen. Un atacante en realidad no necesita su token de autenticación física si puede engañar a su compañía telefónica o al propio servicio seguro para que les deje entrar.
La autenticación adicional siempre es útil. Aunque nada ofrece la seguridad perfecta que todos queremos, el uso de la autenticación de dos factores plantea más obstáculos para los atacantes que quieren tus cosas.
Su compañía telefónica es un enlace débil
Los sistemas de autenticación en dos pasos en muchos sitios web funcionan enviando un mensaje a su teléfono a través de un mensaje de texto cuando alguien intenta ingresar. Incluso si usa una aplicación dedicada en su teléfono para generar códigos, hayuna buena posibilidad de que su servicio de elección le permita a las personas iniciar sesión enviando un código de SMS a su teléfono. O bien, el servicio puede permitirle eliminar la protección de autenticación de dos factores de su cuenta después de confirmar que tiene acceso a un número de teléfono que configuró como número de teléfono de recuperación.
Todo esto suena bien. Usted tiene su teléfono celular y tiene un número de teléfono. Tiene una tarjeta SIM física dentro que lo vincula a ese número de teléfono con su proveedor de telefonía celular. Todo parece muy físico. Pero, lamentablemente, su número de teléfono no es tan seguro como cree.
Si alguna vez necesitó mover un número de teléfono existente a una nueva tarjeta SIM después de perder su teléfono o simplemente obtener uno nuevo, sabrá lo que puede hacer a menudo por teléfono, o incluso en línea. Todo lo que tiene que hacer un atacante es llamar al departamento de servicio al cliente de su compañía de teléfonos celulares y hacerse pasar por usted. Necesitarán saber cuál es su número de teléfono y conocer algunos detalles personales sobre usted. Estos son los tipos de detalles, por ejemplo, número de tarjeta de crédito, los últimos cuatro dígitos de un SSN y otros, que regularmente se filtran en grandes bases de datos y se utilizan para el robo de identidad. El atacante puede intentar que su número de teléfono se mueva a su teléfono.
Hay formas incluso más sencillas. O, por ejemplo, pueden configurar el reenvío de llamadas al final de la compañía telefónica para que las llamadas de voz entrantes se reenvíen a su teléfono y no lleguen al suyo.
Heck, es posible que un atacante no necesite acceder a su número de teléfono completo. Podrían obtener acceso a su correo de voz, intentar iniciar sesión en sitios web a las 3 a.m. y luego tomar los códigos de verificación de su buzón de voz.¿Qué tan seguro es el sistema de correo de voz de su compañía telefónica, exactamente?¿Qué tan seguro es su PIN de correo de voz, incluso ha establecido uno?¡No todos lo han hecho! Y, en caso afirmativo, ¿cuánto le costaría a un atacante recuperar el PIN del correo de voz llamando a su compañía telefónica?
Con su número de teléfono, todo está desaparecido
Su número de teléfono se convierte en el enlace débil, lo que le permite a su atacante eliminar la verificación en dos pasos de su cuenta, o recibir códigos de verificación en dos pasos, a través de mensajes de texto o llamadas de voz. Cuando se da cuenta de que algo anda mal, puede tener acceso a esas cuentas.
Este es un problema para prácticamente todos los servicios. Los servicios en línea no quieren que las personas pierdan el acceso a sus cuentas, por lo que generalmente le permiten omitir y eliminar esa autenticación de dos factores con su número de teléfono. Esto ayuda si ha tenido que restablecer su teléfono u obtener uno nuevo y ha perdido sus códigos de autenticación de dos factores, pero aún tiene su número de teléfono.
Teóricamente, se supone que hay mucha protección aquí.En realidad, se trata de personas de servicio al cliente en proveedores de servicios celulares. Estos sistemas a menudo están configurados para la eficiencia, y un empleado de servicio al cliente puede pasar por alto algunas de las salvaguardas que enfrenta un cliente que parece enojado, impaciente y tiene lo que parece ser suficiente información. Su compañía telefónica y su departamento de servicio al cliente son un eslabón débil en su seguridad.
Proteger su número de teléfono es difícil. Siendo realistas, las compañías de telefonía celular deberían proporcionar más garantías para que esto sea menos arriesgado. En realidad, es probable que desee hacer algo por su cuenta en lugar de esperar a que las grandes corporaciones arreglen sus procedimientos de servicio al cliente. Algunos servicios pueden permitirle desactivar la recuperación o resetearlos a través de números de teléfono y advertirlo en contra, pero si es un sistema de misión crítica, puede elegir procedimientos de restablecimiento más seguros, como códigos de restablecimiento que puede bloquear en una caja fuerte bancaria en casoalguna vez los necesitas.
Otros procedimientos de reinicio
No solo se trata de tu número de teléfono. Muchos servicios le permiten eliminar esa autenticación de dos factores de otras maneras si afirma que ha perdido el código y necesita iniciar sesión. Siempre que sepa suficientes detalles personales sobre la cuenta, es posible que pueda ingresar.
Pruébelo usted mismo: acceda al servicio que ha asegurado con autenticación de dos factores y pretenda haber perdido el código. Vea qué se necesita para ingresar. Puede que tenga que proporcionar detalles personales o responder preguntas de seguridad inseguras en el peor de los casos. Depende de cómo se configura el servicio. Es posible que pueda restablecerlo enviando un correo electrónico a un enlace a otra cuenta de correo electrónico, en cuyo caso esa cuenta de correo electrónico puede convertirse en un enlace débil. En una situación ideal, es posible que solo necesite acceder a un número de teléfono o códigos de recuperación, y, como hemos visto, la parte del número de teléfono es un enlace débil.
Aquí hay algo más que da miedo: no se trata solo de eludir la verificación en dos pasos. Un atacante podría intentar trucos similares para eludir por completo su contraseña. Esto puede funcionar porque los servicios en línea quieren garantizar que las personas puedan recuperar el acceso a sus cuentas, incluso si pierden sus contraseñas.
Por ejemplo, eche un vistazo al sistema de recuperación de cuentas de Google. Esta es una opción de último minuto para recuperar su cuenta. Si alega no conocer ninguna contraseña, eventualmente se le solicitará información sobre su cuenta, como cuando la creó y con quién se la envía frecuentemente. Un atacante que sabe lo suficiente acerca de usted podría teóricamente usar procedimientos de restablecimiento de contraseña como estos para tener acceso a sus cuentas.
Nunca hemos escuchado que se abuse del proceso de recuperación de la cuenta de Google, pero Google no es la única empresa con herramientas como esta. No todos pueden ser totalmente infalibles, especialmente si un atacante sabe lo suficiente sobre usted.
Independientemente de los problemas, una cuenta con configuración de verificación en dos pasos siempre será más segura que la misma cuenta sin la verificación en dos pasos. Pero la autenticación de dos factores no es una panacea, como hemos visto con ataques que abusan del mayor eslabón débil: su compañía telefónica.