Los sistemas de autenticación de dos factores no son tan infalibles como parecen. Un atacante no necesita su token de autenticación física si puede engañar a su compañía telefónica o al servicio seguro para que lo deje entrar.
La autenticación adicional siempre es útil. Aunque nada ofrece la seguridad perfecta que todos queremos, el uso de la autenticación de dos factores pone más obstáculos a los atacantes que quieren tus cosas.
Su compañía telefónica es un vínculo débil
RELACIONADO: Protéjase mediante la verificación en dos pasos en estos 16 servicios web
los sistemas de autenticación de dos pasos en muchos sitios web funciona enviando un mensaje a su teléfono a través de SMS cuando alguien intenta iniciar sesión. Incluso si usa una aplicación dedicada en su teléfono para generar códigos, es muy probable que su servicio preferido ofrezca permitir que las personas inicien sesión enviando un código SMS a tu teléfono. O bien, el servicio puede permitirle eliminar la protección de autenticación de dos factores de su cuenta después de confirmar que tiene acceso a un número de teléfono que configuró como número de teléfono de recuperación.
Todo esto suena bien. Tienes tu teléfono celular y tiene un número de teléfono. Tiene una tarjeta SIM física en su interior que lo vincula a ese número de teléfono con su proveedor de telefonía celular. Todo parece muy físico. Pero, lamentablemente, tu número de teléfono no es tan seguro como crees.
Si alguna vez ha necesitado mover un número de teléfono existente a una nueva tarjeta SIM después de perder su teléfono o simplemente de obtener uno nuevo, sabrá lo que puede hacer a menudo por teléfono, o incluso en línea. Todo lo que un atacante tiene que hacer es llamar al departamento de servicio al cliente de su compañía de telefonía celular y pretender ser usted. Necesitarán saber cuál es su número de teléfono y algunos datos personales sobre usted. Estos son los tipos de detalles, por ejemplo, el número de la tarjeta de crédito, los últimos cuatro dígitos de un SSN y otros, que se filtran regularmente en grandes bases de datos y se utilizan para el robo de identidad. El atacante puede intentar que su número de teléfono se mueva a su teléfono.
Incluso hay formas más fáciles. O, por ejemplo, pueden configurar el desvío de llamadas en el extremo de la compañía telefónica para que las llamadas de voz entrantes se desvíen a su teléfono y no lleguen al suyo.
Diablos, es posible que un atacante no necesite acceso a su número de teléfono completo. Podrían obtener acceso a su buzón de voz, intentar iniciar sesión en sitios web a las 3 a.m. y luego obtener los códigos de verificación de su buzón de voz. ¿Qué tan seguro es exactamente el sistema de correo de voz de su compañía telefónica? ¿Qué tan seguro es el PIN de su correo de voz? ¿Ha configurado uno? ¡No todo el mundo lo ha hecho! Y, si es así, ¿cuánto esfuerzo necesitaría un atacante para restablecer el PIN de su correo de voz llamando a su compañía telefónica?
Con tu número de teléfono, todo ha terminado
RELACIONADO: Cómo evitar quedar bloqueado cuando se usa la autenticación de dos factores
Su número de teléfono se convierte en el eslabón débil, lo que permite a su atacante eliminar la verificación en dos pasos de su cuenta - o reciba códigos de verificación de dos pasos - a través de SMS o llamadas de voz. Cuando se dé cuenta de que algo anda mal, ellos podrán tener acceso a esas cuentas.
Este es un problema para prácticamente todos los servicios. Los servicios en línea no quieren que las personas pierdan el acceso a sus cuentas, por lo que generalmente le permiten omitir y eliminar esa autenticación de dos factores con su número de teléfono. Esto ayuda si ha tenido que restablecer su teléfono u obtener uno nuevo y ha perdido sus códigos de autenticación de dos factores, pero todavía tiene su número de teléfono.
En teoría, se supone que aquí hay mucha protección. En realidad, se trata de personas de servicio al cliente de proveedores de servicios móviles. Estos sistemas a menudo se configuran para la eficiencia, y un empleado de servicio al cliente puede pasar por alto algunas de las salvaguardas que enfrenta un cliente que parece enojado, impaciente y tiene lo que parece ser suficiente información. Su compañía telefónica y su departamento de servicio al cliente son un eslabón débil en su seguridad.
Proteger su número de teléfono es difícil. Siendo realistas, las compañías de telefonía celular deberían proporcionar más garantías para que esto sea menos riesgoso. En realidad, probablemente desee hacer algo por su cuenta en lugar de esperar a que las grandes corporaciones arreglen sus procedimientos de servicio al cliente. Algunos servicios pueden permitirle deshabilitar la recuperación o restablecer a través de números de teléfono y advertirle profusamente sobre ello, pero, si se trata de un sistema de misión crítica, es posible que desee elegir procedimientos de restablecimiento más seguros, como códigos de restablecimiento que puede bloquear en una bóveda de banco en caso alguna vez los necesita.
Otros procedimientos de reinicio
RELACIONADO: Las preguntas de seguridad son inseguras: cómo proteger sus cuentas
Tampoco se trata solo de tu número de teléfono. Muchos servicios le permiten eliminar esa autenticación de dos factores de otras formas si afirma que perdió el código y necesita iniciar sesión. Siempre que sepa suficientes datos personales sobre la cuenta, es posible que pueda acceder.
Pruébelo usted mismo: vaya al servicio que ha protegido con autenticación de dos factores y finja que ha perdido el código. Vea lo que se necesita para ingresar. Es posible que deba proporcionar datos personales o responder "preguntas de seguridad" inseguras en el peor de los casos. Depende de cómo esté configurado el servicio. Es posible que pueda restablecerlo enviando un enlace a otra cuenta de correo electrónico, en cuyo caso esa cuenta de correo electrónico puede convertirse en un enlace débil. En una situación ideal, es posible que solo necesite acceder a un número de teléfono o códigos de recuperación y, como hemos visto, la parte del número de teléfono es un eslabón débil.
Aquí hay algo más aterrador: no se trata solo de omitir la verificación en dos pasos. Un atacante podría intentar trucos similares para omitir su contraseña por completo. Esto puede funcionar porque los servicios en línea quieren asegurarse de que las personas puedan recuperar el acceso a sus cuentas, incluso si pierden sus contraseñas.
Por ejemplo, eche un vistazo a Recuperación de cuenta de Google sistema. Esta es una última opción para recuperar su cuenta. Si afirma no conocer ninguna contraseña, eventualmente se le pedirá información sobre su cuenta, como cuándo la creó y a quién envía correos electrónicos con frecuencia. Un atacante que conozca lo suficiente sobre usted podría, en teoría, utilizar procedimientos de restablecimiento de contraseña como estos para obtener acceso a sus cuentas.
Nunca hemos escuchado que se haya abusado del proceso de recuperación de la cuenta de Google, pero Google no es la única empresa con herramientas como esta. No todos pueden ser completamente infalibles, especialmente si un atacante sabe lo suficiente sobre ti.
Cualesquiera que sean los problemas, una cuenta con configuración de verificación en dos pasos siempre será más segura que la misma cuenta sin verificación en dos pasos. Pero la autenticación de dos factores no es una solución milagrosa, como hemos visto con una pistas que abusan del mayor eslabón débil : su compañía telefónica.
