La verificaci��n en dos pasos por SMS no es suficiente

El tel��fono m��vil es una segunda llave id��nea para permitir el acceso a redes sociales y servicios, pero son preferibles las alternativas que eviten llamadas y mensajes de texto

Un cliente inspecciona el nuevo iPhone 8 en la tienda de Apple Orchard en Singapur.V��deo: WALLACE WOON

09 oct 2017 - 09:35CEST

Es de vital importancia que nuestros accesos a las cuentas que almacenan cada vez informaci��n m��s sensible e importante de nosotros sean seguros. Lo m��s seguros posibles; no existe el candado perfecto. El auge del smartphone y la creciente inquietud de los usuarios por la seguridad de sus cuentas promovi�� el uso de accesos que se verifican dos veces: por contrase?a y por un c��digo extra que es enviado a un dispositivo al que se tiene acceso f��sico.

El tel��fono es el dispositivo predilecto, siempre va con nosotros, e inequ��vocamente a?ade una capa extra de seguridad. Pero no es la mejor cerradura para las cuentas bancarias, el correo electr��nico o la cuenta de Instagram de una celebridad.

En Estados Unidos, los ciberdelincuentes realizan ataques de ingenier��a social para tomar el control de las cuentas de las v��ctimas mediante intentos de portabilidad. Con los datos de su objetivo y paciencia, se hacen pasar por su v��ctima para obtener el control de su n��mero de tel��fono. Ese n��mero, gracias a la verificaci��n en dos pasos que implementan multitud de servicios, es una llave para entrar o recuperar la contrase?a. Es una pr��ctica popular para hacerse con los monederos de divisas digitales como el bitcoin.

Tambi��n es posible infectar los smartphones con un troyano, un c��digo malicioso que act��a como un caballo de Troya: pasa de forma desapercibida para obtener informaci��n y reenviarla al dispositivo que controla el cibercriminal. "Es una pr��ctica que todav��a se usa en tel��fonos Android infectados a trav��s de aplicaciones maliciosas", dice Sergio de los Santos, director de innovaci��n y laboratorio en ElevenPaths, unidad especializada en ciberseguridad de Telef��nica, a EL PA?S. "El troyano puede reenviar los SMS que env��a el banco, por ejemplo. Tambi��n es posible que una aplicaci��n no maliciosa se actualice con el paso del tiempo para realizar estos ataques aprovechando un despiste en los sistemas de revisi��n de la tienda de aplicaciones".

Es mejor verificarse en dos pasos que en uno, pero existen alternativas m��s seguras que los SMS

En 2015, Apple tuvo que purgar su tienda de aplicaciones porque se detectaron varias aplicaciones que introduc��an ataques inform��ticos a trav��s de un kit de herramientas de desarrollo modificado e invisible durante meses a los ojos de la compa?��a norteamericana.

M��s all�� de la ingenier��a social y los peligros de instalar aplicaciones de dudoso origen y prop��sito, los SMS cuentan con vulnerabilidades insalvables. El protocolo de comunicaci��n que usan las operadoras para intercambiar informaci��n entre s��, SS7, es la principal. Un ciberdelincuente puede emplearlo a su favor haciendo creer que su dispositivo es el leg��timo receptor de la informaci��n que ha de llegar a la v��ctima. Se pueden redirigir llamadas y mensajes de texto. "Estos ataques requieren un mayor esfuerzo y no son tan comunes, pero pueden ser empleados en ataques dirigidos a v��ctimas cuyos datos son de gran importancia para los hackers", dice De los Santos.

En Ir��n, la seguridad de Telegram fue vulnerada gracias a su dependencia del n��mero de m��vil y el env��o de un SMS para la autenticaci��n del usuario.

Alternativas

Los SMS como autenticaci��n en dos pasos son mejores que emplear s��lo una contrase?a como ��nico credencial. Pero no son la mejor opci��n. Herramientas como Google Authenticator con m��s seguras al emplear c��lculos matem��ticos para generar un c��digo de acceso que no involucra la comunicaci��n con el exterior. Es menos c��modo, y no todos los servicios permiten usarlo.

La seguridad es tambi��n responsabilidad de los servicios, que a veces no ofrecen las herramientas necesarias

La GSMA, organizaci��n internacional de operadoras m��viles y compa?��as relacionadas, promueve Mobile Connect, un sistema que permite verificar a los usuarios gracias al c��digo ��nico y cifrado que es almacenado en las tarjetas SIM de sus dispositivos. Orange, Vodafone y Movistar ya lo ofrecen, aunque el siguiente paso es que m��s servicios lo adopten.

Telef��nica ofrece Latch, una herramienta que funciona como un pestillo. El consumidor puede activar o desactivar cualquier acceso a su cuenta, de forma que sea totalmente inaccesible hasta que ��l abra el acceso antes de entrar con su usuario y contrase?a de forma habitual. Es uno de los sistemas m��s seguros, pero tambi��n m��s complicados y tediosos de emplear.

Todav��a hoy, servicios que cuentan con millones de usuarios no ofrecen procesos de verificaci��n en dos pasos y la mayor��a no da soporte a Google Authenticator o similares. La seguridad, al fin y al cabo, es una responsabilidad compartida entre servicios, operadores y usuarios.

Tu suscripci��n se est�� usando en otro dispositivo

?Quieres a?adir otro usuario a tu suscripci��n?

A?adir usuario Continuar leyendo aqu��

Si contin��as leyendo en este dispositivo, no se podr�� leer en el otro.

?Por qu�� est��s viendo esto?

Flecha

Tu suscripci��n se est�� usando en otro dispositivo y solo puedes acceder a EL PA?S desde un dispositivo a la vez.

Si quieres compartir tu cuenta, cambia tu suscripci��n a la modalidad Premium, as�� podr��s a?adir otro usuario. Cada uno acceder�� con su propia cuenta de email, lo que os permitir�� personalizar vuestra experiencia en EL PA?S.

En el caso de no saber qui��n est�� usando tu cuenta, te recomendamos cambiar tu contrase?a aqu��.

Si decides continuar compartiendo tu cuenta, este mensaje se mostrar�� en tu dispositivo y en el de la otra persona que est�� usando tu cuenta de forma indefinida, afectando a tu experiencia de lectura. Puedes consultar aqu�� los t��rminos y condiciones de la suscripci��n digital.