SMS como doble factor de autenticación, ¿sigue siendo seguro?

Desde hace años venimos recomendando la utilización de un doble factor de autenticación (2FA) para mejorar la seguridad de aquellos servicios o aplicaciones que, inicialmente, dependen de un nombre de usuario y contraseña. La aplicación de una medida de seguridad adicional como esta normalmente supone una mejora a la hora de acceder a datos confidenciales o privados, pero, como vamos a ver hoy, no todas las soluciones 2FA ofrecen las mismas garantías.

El incidente sufrido por Reddit

Como posiblemente muchos de nuestros lectores ya sabrán, Reddit anunció recientemente que durante el pasado mes de junio un atacante consiguió acceder a las cuentas de empleados de la empresa, aun a pesar de que tenían activado el doble factor de autenticación por SMS. Este ataque permitió a los atacantes obtener acceso de solo lectura a algunos sistemas con copias de seguridad, código fuente y otros registros.

Sin embargo, la mayoría de los datos que fueron accedidos de forma ilícita, incluyendo credenciales (no en texto plano, sino con hash+salt) y direcciones de correo; pertenecían a una copia de seguridad del año 2007, por lo que lo lógico sería pensar que esas contraseñas fueron cambiadas ya hace tiempo por los propietarios de las cuentas.

Reddit ya ha tomado cartas en el asunto avisando a aquellos usuarios que se registraron en su plataforma hasta 2007, mediante mensajes en los que se les invita a cambiar sus credenciales de acceso si no lo han hecho desde entonces.

Lo realmente importante de este incidente fue que el ataque se produjo directamente contra cuentas de empleados de Reddit y consiguieron vulnerarlas, a pesar de contar con un doble factor de autenticación mediante el envío de mensajes SMS. Lo más probable es que los atacantes se valieran de la ingeniería social para obtener estos códigos pero tampoco se descartan métodos más sofisticados, algo que venimos observando desde hace años en varios casos de troyanos bancarios, por ejemplo.

¿Es el 2FA realmente seguro?

La utilización de sistemas de doble factor de autenticación es algo que venimos recomendando encarecidamente desde hace tiempo, ya que la capa de seguridad adicional que proporcionan evita que usuarios no autorizados accedan a nuestros servicios online o aplicaciones aun cuando nos han robado nuestras credenciales de acceso.

Sin embargo, no todos los 2FA son iguales, y actualmente disponemos de numerosas posibilidades como el ya citado SMS, el email, la llamada de teléfono, los códigos de un solo uso generados por aplicaciones o hardware e incluso medidas de autenticación biométrica como la huella dactilar o el reconocimiento facial.

Precisamente fue el SMS una de las primeras medidas en implementarse y, como en otras medidas de seguridad, los bancos fueron de los primeros en incluir este tipo de mensajes como doble factor de autenticación a la hora de realizar operaciones de banca online. No obstante, con las alternativas existentes en la actualidad, es un método que se ha quedado rezagado con respecto al resto.

Si realizamos una consulta sobre la posibilidad de añadir un 2FA en aquellos servicios online o aplicaciones más utilizadas, vemos que muchas de ellas ya permiten configurar esta capa adicional de seguridad. Pero cuando revisamos si se ofrecen posibilidades más allá del SMS, vemos que la oferta aún no es tan amplia como nos gustaría, a pesar de ir creciendo de forma constante durante los últimos años.

Opciones de 2FA implementadas en algunas redes sociales – Fuente: Twofactorauth

Así las cosas, podemos concluir que la incorporación de un 2FA va resultar muy positiva a la hora de reforzar la seguridad, pero debemos tener en cuenta que hay varias opciones e intentar elegir aquella que más nos compense, tanto por nivel de seguridad como por facilidad de uso.

Conclusión

El incidente de seguridad sufrido por Reddit nos sirve como ejemplo perfecto para recordar que no solo se deben implementar soluciones de seguridad, sino también evaluar su eficacia y resistencia ante posibles ataques. El uso de 2FA se está extendiendo, incorporando nuevos mecanismos de autenticación más efectivos, pero todavía falta para que se convierta en algo utilizado de forma masiva por los usuarios, al menos hasta que exista una alternativa real a la dupla usuario más contraseña.

Josep Albors

ZombieBoy: malware con funcionalidad de gusano centrado en la minería de criptomonedas