La autenticación de dos factores de SMS no es perfecta, pero aún debe usarla

En una búsqueda de la seguridad perfecta, lo perfecto es enemigo de lo bueno. La gente está criticando la autenticación de dos factores basada en SMS a raíz del hackeo de Reddit, pero usar dos factores basados en SMS sigue siendo mucho mejor que no usar la autenticación de dos factores en absoluto.

Más del 90% de los usuarios de Gmail no utilizan la autenticación de dos factores

Los profesionales de la seguridad que hablan de que la verificación por SMS no es lo suficientemente buena se están adelantando demasiado a sí mismos. Más del 90% de los usuarios de Gmail no están utilizando ninguna autenticación de dos factores en absoluto, según un presentación El ingeniero de Google Grzegorz Milka dio en USENIX Enigma 2018. La cosa número uno que la mayoría de las personas pueden hacer para protegerse en línea es habilitar cualquier tipo de autenticación de dos factores para sus cuentas importantes.

Piénsalo así. Digamos que desea poner una cerradura en la puerta de su casa para proteger su hogar. Los profesionales de la seguridad argumentan que el mejor tipo de cerradura disponible es mucho mejor que las cerraduras más baratas. Claro, tiene sentido. Pero si esa cerradura más cara no está disponible para usted, ¿no es mejor tener una cerradura más barata que no tener una cerradura en absoluto?

Sí, la autenticación de dos factores basada en aplicaciones es mejor que la autenticación basada en SMS. Pero, si SMS es todo lo que ofrece un servicio, aún es mejor que no usarlo en absoluto.

El factor dos basado en SMS tiene algunas debilidades, pero eso es perder el punto. Un atacante tendrá que pasar tiempo sin pasar por alto su verificación por SMS. Y la mayoría de los objetivos probablemente no valen tanto esfuerzo.

Por qué necesita autenticación de dos factores

La autenticación de dos factores se llama así porque requiere que tenga dos cosas para ingresar a su cuenta: algo que sepa (su contraseña) y algo que tenga (un código de seguridad adicional de su dispositivo móvil o un token físico).

Cuando habilita la autenticación de dos factores basada en SMS, el servicio enviará a su número de teléfono móvil un mensaje de texto que contiene un código de un solo momento cada vez que inicie sesión desde un nuevo dispositivo. Por lo tanto, incluso si alguien tiene su nombre de usuario y contraseña para esa cuenta, no podrá iniciar sesión en su cuenta sin acceso a sus mensajes de texto.

También hay otros tipos de métodos de dos factores, incluidas las aplicaciones en su teléfono que generan códigos de seguridad temporales y claves de seguridad físicas que debe conectar a su computadora.

Cualquier tipo de autenticación de dos factores proporciona una gran cantidad de protección para cuentas importantes como su correo electrónico, redes sociales y cuentas bancarias. Esto es especialmente cierto si reutiliza contraseñas. Muchas personas reutilizan contraseñas en varios sitios web y, cuando la base de datos de contraseñas de un sitio web se filtra, esa contraseña se puede usar para iniciar sesión en sus cuentas de correo electrónico. La autenticación de dos factores detendría este derecho en seco.

Eso no significa que deba reutilizar las contraseñas. No debe reutilizar contraseñas. Debe usar un buen administrador de contraseñas para realizar un seguimiento de las contraseñas seguras y únicas.

¿Por qué la gente dice que la autenticación por SMS es mala?

La autenticación de dos factores basada en SMS no se considera ideal porque alguien podría robar su número de teléfono o interceptar sus mensajes de texto. Por ejemplo:

  • Un atacante podría hacerse pasar por usted y mover su número de teléfono a un nuevo teléfono en una estafa de portabilidad de números de teléfono. Este es el ataque más probable.
  • Un atacante podría interceptar mensajes SMS destinados a usted. Por ejemplo, podrían falsificar una torre celular cerca de usted, o un gobierno podría usar su acceso a la red celular para reenviar mensajes.
Te puede ser útil:  ¿Qué es el proceso de host de servicio (svchost.exe) y por qué se están ejecutando tantos?

Es por eso que los expertos recomiendan usar otro método de dos factores, uno que no pueda ser abusado tan fácilmente por los estados nacionales y que no sea vulnerable si su operador celular le da su número de teléfono a otra persona. Si obtienes tu código de una aplicación en tu teléfono o de una clave de seguridad física que conectas, tu factor dos no es vulnerable a problemas con la red telefónica. El atacante necesitaría su teléfono desbloqueado o la clave de seguridad física que tiene para iniciar sesión.

Claro, en un mundo perfecto, los SMS no son la solución ideal. Hemos explicado por qué a los expertos en seguridad no les gusta la autenticación en dos pasos basada en SMS. Pero, incluso cuando expusimos ese caso, tratamos de dejar una cosa clara: la autenticación de dos factores basada en SMS es mucho, mucho mejor que nada.

Algunas personas necesitan más seguridad de la que proporciona SMS

La persona promedio está bien con la autenticación basada en SMS por ahora. La autenticación basada en SMS hace que los atacantes pasen por muchos problemas adicionales para ingresar a su cuenta, y probablemente no valga la pena su problema cuando hay otros objetivos más fáciles y jugosos por ahí. La mayoría de las personas ni siquiera usan la autenticación por SMS, y la web sería un lugar mucho más seguro si todos lo hicieran.

People quienes probablemente sean blanco de atacantes sofisticados deben evitar la autenticación basada en SMS. Por ejemplo, si eres un político, periodista, celebridad o líder empresarial, podrías ser atacado. Si usted es una persona con acceso a datos corporativos confidenciales, un administrador de sistemas con acceso profundo a sistemas confidenciales o simplemente alguien con mucho dinero en el banco, los SMS pueden ser demasiado riesgosos.

Pero, si usted es la persona promedio con una cuenta de Gmail o Facebook y nadie tiene una razón para pasar un montón de tiempo obteniendo acceso a sus cuentas, la autenticación por SMS está bien y debe habilitarla absolutamente en lugar de no usar nada en absoluto.

Solo estás tan seguro como el eslabón más débil

Aquí hay otra verdad desafortunada que todos parecen pasar por alto: incluso si evita la autenticación de dos factores basada en SMS para una cuenta, SMS probablemente esté disponible como un método de reserva. Por ejemplo, incluso si generas códigos con una aplicación para iniciar sesión en tu cuenta de Google, puedes recuperar tu cuenta con tu número de teléfono. Esto es para protegerlo si alguna vez pierde el acceso a su teléfono o token de dos factores.

En otras palabras, muchos servicios, probablemente incluso la mayoría, le permiten ingresar a su cuenta con su número de teléfono, incluso si usa un código generado por la aplicación o una clave de seguridad física la mayor parte del tiempo. Solo estás tan seguro como el eslabón más débil del sistema. Intente verificar las otras formas en que puede iniciar sesión si no tiene su método normal.

Es por eso que, para bloquear realmente una cuenta de Google, no solo necesita evitar la autenticación en dos pasos basada en SMS. También debe inscribirse en Programa de protección avanzada de Google, que es Google anuncia para “periodistas, activistas, líderes empresariales y equipos de campaña política”. Este programa gratuito requiere que use una clave de seguridad física para iniciar sesión, pero también exige mucha más información para recuperar su cuenta.

Por favor, use SMS si no está usando 2FA en este momento

No queremos arrullarlo en una falsa sensación de seguridad: si es probable que sea alguien que probablemente sea blanco de gobiernos extranjeros, espías corporativos o delincuentes organizados, debe evitar la autenticación de dos factores basada en SMS y bloquear sus cuentas con algo más seguro.

Pero, si usted es la persona promedio que aún no ha habilitado la autenticación de dos factores, no se deje disuadir: dos factores basados en SMS lo harán mucho más seguro que ningún factor de dos. Es una línea de base importante para la seguridad.

Todos deben usar la verificación por SMS a menos que estén usando algo mejor.

Crédito de la imagen: golubovystock/Shutterstock.com.

¿Qué tan útil te resultó el artículo?

¡Haz click en una estrella para valorar!

Valoración media / 5. Votos totales:

¡No hay votos hasta ahora! Sé el primero en valorar este artículo.

Utilizamos cookies para personalizar el contenido y los anuncios, para ofrecer funciones de redes sociales y para analizar nuestro tráfico. También compartimos información sobre su uso de nuestro sitio con nuestros socios de redes sociales, publicidad y análisis. View more
Cookies settings
Aceptar
Política de privacidad y cookies
Privacy & Cookies policy
Cookie name Active
El presente Política de Privacidad establece los términos en que Alternativa.click usa y protege la información que es proporcionada por sus usuarios al momento de utilizar su sitio web. Esta compañía está comprometida con la seguridad de los datos de sus usuarios. Cuando le pedimos llenar los campos de información personal con la cual usted pueda ser identificado, lo hacemos asegurando que sólo se empleará de acuerdo con los términos de este documento. Sin embargo esta Política de Privacidad puede cambiar con el tiempo o ser actualizada por lo que le recomendamos y enfatizamos revisar continuamente esta página para asegurarse que está de acuerdo con dichos cambios.

Información que es recogida

Nuestro sitio web podrá recoger información personal por ejemplo: Nombre,  información de contacto como  su dirección de correo electrónica e información demográfica. Así mismo cuando sea necesario podrá ser requerida información específica para procesar algún pedido o realizar una entrega o facturación.

Uso de la información recogida

Nuestro sitio web emplea la información con el fin de proporcionar el mejor servicio posible, particularmente para mantener un registro de usuarios, de pedidos en caso que aplique, y mejorar nuestros productos y servicios.  Es posible que sean enviados correos electrónicos periódicamente a través de nuestro sitio con ofertas especiales, nuevos productos y otra información publicitaria que consideremos relevante para usted o que pueda brindarle algún beneficio, estos correos electrónicos serán enviados a la dirección que usted proporcione y podrán ser cancelados en cualquier momento. Alternativa.click está altamente comprometido para cumplir con el compromiso de mantener su información segura. Usamos los sistemas más avanzados y los actualizamos constantemente para asegurarnos que no exista ningún acceso no autorizado.

Cookies

Una cookie se refiere a un fichero que es enviado con la finalidad de solicitar permiso para almacenarse en su ordenador, al aceptar dicho fichero se crea y la cookie sirve entonces para tener información respecto al tráfico web, y también facilita las futuras visitas a una web recurrente. Otra función que tienen las cookies es que con ellas las web pueden reconocerte individualmente y por tanto brindarte el mejor servicio personalizado de su web. Nuestro sitio web emplea las cookies para poder identificar las páginas que son visitadas y su frecuencia. Esta información es empleada únicamente para análisis estadístico y después la información se elimina de forma permanente. Usted puede eliminar las cookies en cualquier momento desde su ordenador. Sin embargo las cookies ayudan a proporcionar un mejor servicio de los sitios web, estás no dan acceso a información de su ordenador ni de usted, a menos de que usted así lo quiera y la proporcione directamente. Usted puede aceptar o negar el uso de cookies, sin embargo la mayoría de navegadores aceptan cookies automáticamente pues sirve para tener un mejor servicio web. También usted puede cambiar la configuración de su ordenador para declinar las cookies. Si se declinan es posible que no pueda utilizar algunos de nuestros servicios.

Enlaces a Terceros

Este sitio web pudiera contener en laces a otros sitios que pudieran ser de su interés. Una vez que usted de clic en estos enlaces y abandone nuestra página, ya no tenemos control sobre al sitio al que es redirigido y por lo tanto no somos responsables de los términos o privacidad ni de la protección de sus datos en esos otros sitios terceros. Dichos sitios están sujetos a sus propias políticas de privacidad por lo cual es recomendable que los consulte para confirmar que usted está de acuerdo con estas. Control de su información personal En cualquier momento usted puede restringir la recopilación o el uso de la información personal que es proporcionada a nuestro sitio web.  Cada vez que se le solicite rellenar un formulario, como el de alta de usuario, puede marcar o desmarcar la opción de recibir información por correo electrónico.  En caso de que haya marcado la opción de recibir nuestro boletín o publicidad usted puede cancelarla en cualquier momento. Esta compañía no venderá, cederá ni distribuirá la información personal que es recopilada sin su consentimiento, salvo que sea requerido por un juez con un orden judicial. Alternativa.click Se reserva el derecho de cambiar los términos de la presente Política de Privacidad en cualquier momento.
Save settings
Cookies settings