Por qué las contraseñas de SMS 2FA son inseguras y cómo migrar a una autenticación en aplicaciones

Recientemente, mi cuenta de PayPal fue hackeada, y no es la primera ni la segunda vez que sucede. Afortunadamente, tengo suficientes alertas configuradas para detectar estas cosas bastante rápido y actuar en consecuencia, pero eso no significa que todo esté bien. No lo está. Sé que es solo cuestión de tiempo antes de que otra cuenta sea hackeada.

Por qué las contraseñas de SMS 2FA son inseguras y cómo migrar a una autenticación en aplicaciones - Seguridad | Imagen 1 Newsmatic

En este punto, probablemente estés pensando: "¿Por qué no utiliza una contraseña segura y autenticación de dos factores en esas cuentas?" Mi respuesta: lo hago. Todas mis cuentas están protegidas por contraseñas que ni siquiera podría pensar en memorizar, generadas por un generador de contraseñas aleatorias. Todas las cuentas que utilizo tienen activada la autenticación de dos factores.

Pero no todas las configuraciones de autenticación de dos factores son iguales. Permíteme explicarlo: De todas las cuentas que tengo, y como tú, son muchas, solo una configuración es constantemente hackeada. Esa configuración es la autenticación de dos factores enviada por SMS. Las cuentas que utilizan la autenticación de dos factores a través de una aplicación como Authy o el Autenticador de Google nunca han tenido ningún problema.

Pero esas cuentas de autenticación de dos factores vía SMS solo han sido problemas. ¿Por qué es esto un problema? Sencillamente, cuando esos códigos de autenticación de dos factores se envían vía SMS, pueden ser interceptados por las personas equivocadas. Si ya tienen tus credenciales de inicio de sesión, el mensaje de texto SMS es la pieza faltante. Una vez que pueden interceptar ese código, tienen las llaves del reino y pueden causar estragos en todo lo que encuentren.

La autenticación de dos factores a través de una aplicación de autenticación no es tan fácil de crackear. El problema es que muchas instituciones, especialmente los bancos, no ven esta vulnerabilidad y continúan utilizando un mecanismo de seguridad inferior.

Protección antivirus en línea: McAfee Clinic lleva la seguridad de tu PC al siguiente nivel

Aunque no lo creas, lo entiendo. Muchas organizaciones comprenden que hacer que los usuarios activen la autenticación de dos factores ya es casi una tarea imposible. La mayoría de los consumidores no quieren lidiar con los detalles complicados de solicitar un código, esperar y luego ingresarlo. Estas son las mismas personas que todavía usan "contraseña123" para iniciar sesión porque quieren que todo sea lo más simple posible.

Nuevamente, lo entiendo: la vida ya es lo suficientemente complicada como para tener que saltar más obstáculos para hacer algo que debería ser simple. Pero si quieres mantener tus datos y tu dinero a salvo de aquellos cuya única tarea es tomarlo, las contraseñas seguras y la seguridad adicional son imprescindibles. Es realmente desalentador saber que muchas instituciones importantes siguen confiando en tecnologías menos seguras.

Índice de Contenido
  1. Una posición interesante e importante
  2. ¿Qué deben hacer los consumidores?

Una posición interesante e importante

El punto es que estas organizaciones se encuentran en una posición bastante interesante e importante. Supongamos, por ejemplo, que el Banco X decide que ya ha tenido suficiente de que se hackeen las cuentas y decide implementar dos cosas: requisitos de contraseñas seguras y autenticación de dos factores estilo aplicación de autenticación. Todos los clientes de ese banco tendrían que implementar esas dos medidas de inmediato. Sí, habría cierta resistencia al cambio, pero eventualmente, todos lo aceptarían y continuarían con la seguridad mejorada. Pronto, el ritual de iniciar sesión en una cuenta se volvería algo natural y las quejas cesarían.

El Banco X habría ayudado con éxito a sus clientes a entender que un par de pasos adicionales valen la pena por la seguridad añadida. Al utilizar aplicaciones de autenticación en lugar de códigos de SMS, el banco aumenta la seguridad de su organización y, con suerte, reduce la cantidad de hackeos que ocurren.

No, no es perfecto, e incluso la autenticación de dos factores mediante aplicaciones puede ser hackeada, pero no se ven hackeos a ese nivel en comparación con la autenticación de dos factores vía SMS. Sabiendo eso, nunca dejo de sorprenderme de que tantos sitios web y servicios sigan dependiendo de códigos de SMS para la autenticación de dos factores.

Es hora de que los bancos y otros servicios importantes abandonen los códigos de autenticación de dos factores vía SMS y migren a la autenticación de dos factores basada en aplicaciones de autorización.

Cómo proteger tu computadora de los virus: métodos y consejos

¿Qué deben hacer los consumidores?

En cuanto a los consumidores y usuarios, si se les da la opción entre autenticación de dos factores vía SMS y basada en una aplicación, siempre deben elegir la opción basada en la aplicación. Al hacerlo, no tendrán que preocuparse de que su código de autenticación de dos factores basado en tiempos se transmita a través del éter para que alguien pueda espiarlo y usarlo en su contra.

Esto debería implementarse en todos los ámbitos sin excepciones, al menos hasta que alguien encuentre una forma más confiable y segura de autenticación multifactor. De lo contrario, las cuentas seguirán siendo hackeadas a un ritmo cada vez más alarmante.

A todos los bancos, servicios y sitios de redes sociales les diría esto: ya es hora de que implementen una mejor seguridad. Sí, hay una curva de aprendizaje más empinada con los códigos de autenticación de dos factores basados en aplicaciones, pero la mayoría de los consumidores y usuarios se acostumbrarían rápidamente al método si se les diera una razón. Y si algún banco piensa que un consumidor abandonará su institución debido a una política de seguridad mejorada, claramente nunca han cambiado de un banco a otro.

Las empresas pueden comenzar a hacer que sus aplicaciones sean más seguras comparando Duo vs. Microsoft Authenticator para empresas.

Suscríbete a How To Make Tech Work de Newsmatic en YouTube para obtener los últimos consejos tecnológicos para profesionales de negocios de Jack Wallen.

¡Defiéndete! Protege tu seguridad en línea contra amenazas críticas

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a Por qué las contraseñas de SMS 2FA son inseguras y cómo migrar a una autenticación en aplicaciones , tenemos lo ultimo en tecnología 2023.

Artículos Relacionados

Subir

Utilizamos cookies para mejorar su experiencia de navegación, mostrarle anuncios o contenidos personalizados y analizar nuestro tráfico. Al hacer clic en “Aceptar todo” usted da su consentimiento a nuestro uso de las cookies.