¿Es la autenticación de dos factores realmente infalible?

Todos ya recibieron un SMS en su teléfono para confirmar una compra o una transacción en línea. Seguridad que se suma a la contraseña tradicional. Y, sin embargo, por muy tranquilizador que sea, no es ni ideal ni infalible.

El 10 de abril, Google anunció que los teléfonos móviles con Android 7 y superior podrían usarse como un segundo factor para la autenticación física como parte de sus servicios. Cuando se conecta a su cuenta con una computadora, su teléfono inteligente solo necesita estar cerca para que la autenticación se realice automáticamente.

Esta nueva característica ha sido aclamada por expertos en ciberseguridad. Si bien estos insisten en la importancia de la autenticación de dos factores (Autenticación de dos factores, o 2FA) para proteger adecuadamente las cuentas, muchas de las soluciones propuestas hasta ahora adolecían de una serie de fallas. El servicio ofrecido por Google actualmente solo funciona con su cuenta de Google. Mientras espera una generalización al resto de su vida digital, ¿qué hacer con la doble autenticación?

¿Cómo funciona la autenticación de dos factores?

Todos tenemos decenas de cuentas en las principales plataformas digitales. Google, Facebook, Twitter, Amazon, Spotify… Son tan numerosos que ya no los contamos. Estas cuentas, y los diversos datos que contienen, obviamente han dado lugar a oleadas de piratas informáticos a gran escala. Y para mitigar los efectos de estas brechas de seguridad, muchos servicios han comenzado a aconsejar o incluso imponer el uso de la doble autenticación.

Para mitigar los efectos de las brechas de seguridad, muchos servicios han comenzado a aconsejar o incluso imponer el uso de la doble autenticación.

Supongamos que un pirata informático ha logrado robar la contraseña de alguien. Sin 2FA, la cuenta de la víctima se vería comprometida de inmediato. Pero si esta cuenta requiere un SMS, una llave USB (un dongle) o un código enviado por una aplicación instalada en su teléfono, en resumen, un segundo sistema de autenticación, el hacker está bloqueado, lo que le da al usuario tiempo para cambiar su contraseña.

Sin embargo, 2FA no nació con la web: como solía decir Monsieur Jourdain en prosa sin saberlo, probablemente lo uses a menudo en tu vida diaria sin prestarle atención. Este suele ser el caso de la tarjeta de crédito. A menos que la use en modo sin contacto, no es suficiente poseer físicamente la tarjeta para pagar. Sería demasiado fácil para un ladrón. Una vez que la tarjeta ha sido insertada en el lector, también debe ingresar un código confidencial que solo usted conoce.

Este código es un ejemplo de lo que se llama el segundo factor de autenticación. Hay tres tipos diferentes.

  • Lo que el usuario sabe. Este es el caso de un código PIN o un número enviado por SMS. Es, con mucho, el modo 2FA más popular porque es económico y fácil de usar.
  • Lo que posee. Este es el caso de una clave de autenticación o un teléfono inteligente en Google. Es más seguro, pero a menudo también más engorroso.
  • Lo que él es. Estas son huellas dactilares y otros datos biométricos. Este es el procedimiento que se utiliza en algunos aeropuertos si tienes un pasaporte biométrico: no solo debes presentar tu documento, sino también poner la punta de los dedos en un lector.

Sin embargo, en principio, la doble autenticación no está exenta de fallas. Tomemos el ejemplo de la tarjeta azul. Si retira dinero una noche de un cajero automático, debe ingresar su código confidencial en la máquina. Y no eres inmune a las miradas indiscretas. Si realmente tiene mala suerte, un tipo malo puede espiar su código antes de que le saquen la tarjeta de crédito. ¡La doble autenticación es entonces inútil!

¿No es adecuado para los nuevos peligros de Internet?

Ya en 2005, el gurú de la ciberseguridad Bruce Schneier denunció en su blog “el fallo de la autenticación de dos factores”. El investigador cree que esta seguridad fue efectiva en la década de 1990. Las técnicas de robo de contraseñas eran entonces esencialmente “pasivas”. Estos fueron, por ejemplo, ataques del hombre en el medio (ataque man-in-the-middle, o “MITM”), donde el pirata informático intercepta la contraseña sobre la marcha poniendo en peligro, por ejemplo, un punto de acceso Wi-Fi; o métodos menos sofisticados para adivinar la contraseña si es de mala calidad.

La autenticación de dos factores responde bien a estas vulnerabilidades de antaño, pero sería más difícil gestionar los llamados ataques “activos” que surgieron en la década de 2000. En una versión más elaborada de MITM que recuerda al phishing (suplantación de identidad), los piratas informáticos crean un sitio web fraudulento con la apariencia y el comportamiento esperados de un sitio legítimo, como un banco. Luego engañan al usuario para que ingrese sus credenciales.

Estos se integran inmediatamente en el sitio del banco real, que envía un SMS con un código al usuario real. Este último ingresa el código en el sitio falso, y los piratas informáticos pueden tener en sus manos la cuenta bancaria real. Una técnica que ciertamente requiere más recursos, pero que no es particularmente compleja de implementar.

El caballo de Troya (troyano) funciona de una manera aún más directa. Al comprometer la computadora de la víctima, este virus solo tiene que esperar hasta que se conecte legítimamente al banco para tomar el control de su sesión. En una variante llamada man-in-the-browser (MITB) y presentado en 2005, el caballo de Troya ingresa al navegador web. Cuando el usuario da determinadas instrucciones al sitio web del banco, a través de su navegador, el troyano empieza a dar información completamente diferente (como los importes, el destinatario de la transferencia, etc.).

Otras debilidades afectan el procedimiento de recuperación de contraseña, que le permite encontrar sus datos de inicio de sesión si los olvida. Muy a menudo, los sitios solo envían un correo electrónico al usuario, sin hacerle ninguna pregunta y sobre todo sin utilizar un procedimiento de doble autenticación. Bruce Schneier concluye, por tanto, que 2FA sería adecuado para usos locales y para ciertas empresas, pero no necesariamente adecuado para todos los usos de cuentas en línea. De hecho, los incidentes de seguridad aparecen rápidamente, en particular en torno a los SMS.

Este tranquilizador número de teléfono

Probablemente todos hayan tenido que lidiar con 2FA sobre el texto. Una vez ingresados ​​sus datos de inicio de sesión en el sitio, este último le envía por SMS un código único que debe ingresar dentro de un tiempo determinado. El primer escollo de este sistema es bastante obvio, pero aún merece ser mencionado. En el caso de un cambio de número de teléfono, debe recordar ingresar su nuevo número en cada una de sus cuentas antes de desactivar su número anterior. De lo contrario, corre el riesgo de perder el acceso de forma permanente. Más allá de estos detalles de administración, 2FA a través de SMS es, lamentablemente, vulnerable a ataques.

Con la llegada del teléfono inteligente, el número de teléfono se ha convertido en una piedra angular, y un eslabón realmente débil, de nuestra identidad digital.

Con la llegada del teléfono inteligente, el número de teléfono se ha convertido en una piedra angular, y un eslabón realmente débil, de nuestra identidad digital. Reemplazó la dirección de correo electrónico para crear muchas cuentas y, a menudo, se asocia con muchas otras. Sin embargo, prestamos mucha menos atención a la seguridad de nuestro número de teléfono que a la de nuestra dirección de correo electrónico, a menudo protegida por nuestra contraseña más segura. Quizás esto se deba a que el teléfono inteligente es un objeto cercano a usted, más “íntimo” que un buzón de correo desmaterializado, o porque el número de teléfono sigue apareciendo como anterior a Internet y por lo tanto insensible a sus peligros. Las vulnerabilidades en la tarjeta SMS y SIM permitieron que muchas cuentas de Instagram fueran pirateadas y comercializadas en negro, mientras que a otros usuarios se les extorsionó con dinero.

El número de teléfono, un nuevo objetivo para los piratas informáticos

SMS, al igual que otros servicios móviles, se basa en un conjunto de protocolos de señalización telefónica llamado Signaling System 7 (SS7) y desarrollado por el gigante de las telecomunicaciones estadounidense AT&T en 1975. Se han descubierto numerosas vulnerabilidades de seguridad en el SS7 en durante los años 2000 y 2010, algunos permitiendo por ejemplo geolocalizar con precisión a los usuarios de los dispositivos móviles. En mayo de 2017, el operador alemán O2 Telefónica fue víctima de vulnerabilidades críticas, lo que permitió a los piratas informáticos leer mensajes de texto y escuchar llamadas telefónicas a pesar del cifrado operado por redes celulares.

Más simplemente, los piratas informáticos también pueden practicar la ingeniería social explotando las lagunas humanas. Su objetivo: obtener una copia de la tarjeta SIM de su víctima, para que pueda recibir todos los SMS dirigidos a esta última. En principio, los operadores de telecomunicaciones se abstienen de emitir un duplicado de una tarjeta SIM sin ver el documento de identidad de su propietario.

En la práctica, muchas tiendas son negligentes si se puede persuadir al vendedor. En los Estados Unidos, los ladrones hacen llamadas telefónicas a los centros de llamadas de los operadores y se hacen pasar por su víctima utilizando datos como su número de seguro social o licencia de conducir, dos datos confidenciales que se han filtrado en particular. 2017 para 143 millones de clientes de la agencia de crédito Equifax. Todo lo que tienen que hacer es declarar que han perdido su (su) tarjeta SIM y listo.

El último problema está relacionado con la privacidad. Al ingresar su número de teléfono en una plataforma en línea, corre el riesgo de que esta utilice o incluso revenda estos datos para fines distintos a la autenticación. Facebook quedó atrapado en marzo pasado: una vez que habilita la autenticación de SMS de dos factores, cualquiera puede encontrar su perfil de Facebook ingresando su número de teléfono en la barra de búsqueda del sitio. Y no encontrará ninguna opción en la configuración para negar esto.

La solución a través de aplicaciones de autenticación

Si SMS no es una opción viable, ¿debería abandonarse la doble autenticación? No, dirán la mayoría de los expertos en ciberseguridad. Aunque imperfecta, la autenticación de dos factores sigue siendo mucho más segura que la autenticación unidireccional. Si la mayoría de los geeks prefieren el uso de una clave de seguridad física, a menudo es costosa y compleja de usar, sin mencionar los riesgos de perderla.

Para la gente común, el modo más fuerte de autenticación de dos factores en un teléfono inteligente sigue siendo la aplicación de autenticación, la más conocida de las cuales es Google Authenticator. Esto genera un código con una vida útil muy corta (por ejemplo, 30 segundos) cada vez que necesita iniciar sesión en una cuenta. El código pasa a través de canales seguros utilizando, por ejemplo, el algoritmo TOTP (Contraseña de un solo uso basada en el tiempo). Por tanto, la tarjeta SIM y sus puntos débiles quedan completamente excluidos del procedimiento.

Lo ideal sigue siendo asociar una de estas aplicaciones de autenticación con un administrador de contraseñas, como Dashlane. Porque, en última instancia, la parte más difícil para los piratas informáticos siempre será encontrar la contraseña. Dashlane no solo puede generar contraseñas complejas, sino también y sobre todo protegerlas en un solo lugar, dentro de su aplicación. Dashlane está disponible en todos los dispositivos del momento (PC, Mac, Android o iOS) y se sincroniza automáticamente. También incluye una opción para conectarse a través de un sistema de autenticación de dos factores. Su implementación también es simple e intuitiva.

Finalmente, tenga en cuenta que el enlace anterior le permite beneficiarse de una reducción del 10% en la suscripción de un año a Dashlane (o 35,96 euros en lugar de 39,99 euros) pero también probar la versión Premium de forma gratuita. durante un mes.