¿Por qué la verificación en dos pasos mediante SMS es insegura?

¿Por qué la verificación en dos pasos mediante SMS es insegura?

¿Estás al tanto de los motivos por los que la verificación en dos pasos mediante mensajes SMS no es segura? Pues en este reportaje te dejamos todos los detalles que lo respaldan.

Y es que los SMS no siempre son reales ni seguros, pero no es fácil diferenciar unos de otros... a no ser que leas este interesante artículo en el que te ayudamos a reconocer un SMS falso.

Por eso mismo, a continuación te dejamos las razones por las que no deberías fiarte al 100% de este sistema de verificación en dos pasos (también llamado 2FA) mediante SMS.

Interceptación de mensajes

Aunque pueda parecer un detalle menor, lo cierto es que los mensajes SMS son realmente fáciles de interceptar y manipular. Para un hacker, no es precisamente un desafío acceder a estos mensajes de terceros y a sus cuentas.

Un problema que puede ser solucionado a través de ciertas apps, las cuales mejoran la seguridad de los mensajes pero que muy poca gente utiliza de manera activa.

Vulnerabilidad de ingeniería social

Otra razón de peso por la que la verificación en dos pasos a través de SMS no es segura es que estos mensajes de texto son vulnerables a los denominados ataques de ingeniería social.

¿Y en qué consiste esto? Pues, básicamente, son casos en los que un "atacante" determinado puede llegar a convencer a un operador en concreto para que este redirija los SMS a una tarjeta SIM diferente, el llamado y temido método del SIM Swapping, permitiendo así el acceso a las cuentas de los usuarios.

Permeabilidad de los servicios VoIP

Otro grave inconveniente que tiene este sistema de verificación en dos pasos es que, si el usuario utiliza un servicio VoIP, los piratas informáticos pueden vulnerar sin problemas la seguridad de estos servicios VoIP, con todo lo que esto conlleva.

Por todas estas razones que hemos detallado hasta aquí, el sistema de verificación en dos pasos a través de SMS no es tan fiable como muchos piensan. Está claro que es mejor esto que no disponer de otras medidas de seguridad, pero tiene bastantes pegas como has podido ver.

Entonces, ¿qué otras opciones de seguridad existen que sean más eficaces que dicha verificación en dos pasos? Pues os dejamos las más importantes.

Alternativas a la verificación en dos pasos

Son diversas las opciones disponibles para dejar de lado la verificación en dos pasos a través de SMS, siendo las que te dejamos a continuación las más destacables.

Contraseñas de un solo uso

La primera de ellas son las denominadas contraseñas de un solo uso u OTPs, las cuales vienen a ser códigos temporales que se generan y utilizan una sola vez. Es cierto que dichas contraseñas pueden ser enviadas a través de SMS (o correos electrónicos), pero también a través de apps muy concretas, siendo la más conocida Google Authenticator.

Este sistema otorga una capa adicional de seguridad sin la necesidad de tener que recordar contraseñas o, si usamos aplicaciones, de tener que enviar también un SMS de autenticación. Eso sí, es cierto que si alguien se hace con el dispositivo que recibe dicha contraseña de un solo uso o si es hackeado, habría un problema.

Sistemas de autenticación sin contraseñas

Otra opción pasa por emplear los sistemas de verificación sin contraseñas, un método que elimina la necesidad de usar las habituales contraseñas y los SMS en favor del uso de otros factores de autenticación como la biometría, los dispositivos físicos (como USB que actúen como llaves) o los denominados enlaces mágicos que se envían por correo electrónico.

Verificación multifactorial

Tampoco podemos olvidarnos de la autenticación multifactorial, la cual en realidad viene a ser una extensión de la verificación en dos pasos dado que puede llegar a incluir tres o más elementos de autenticación.

¿Y de qué pasos adicionales hablamos? Pues estos pueden ser algo que solamente el usuario conozca (como una contraseña, por ejemplo), un objeto que sólo posea dicho usuario (como un dispositivo electrónico determinado) o, mejor todavía, una característica única del individuo (los famosos escáneres de retina o huella dactilar).

Certificados digitales

Otro sistema alternativo son los certificados digitales. Unos archivos electrónicos que permiten la verificación de usuarios mediante el uso de la criptografía. Unos certificados que garantizan un alto nivel de seguridad y que resultan difíciles de falsificar, dado que son emitidos por autoridades de certificación competentes.

Estos certificados digitales son ideales para usarse en comunicaciones y accesos a sistemas privados, aunque su integración suele ser algo costosa y compleja en algunas ocasiones.

Autenticación contextual

Otro tipo de sistema de verificación es este, la autenticación contextual, que evalúa el contexto en el que se realiza cada acceso a la información y se tienen en cuenta ciertos elementos. Así, factores como la ubicación geográfica, el dispositivo utilizado o la red desde la que se accede son algunos de los elementos que se tienen en cuenta para garantizar la seguridad de cada acceso.

Verificación de comportamiento

Y, por último, tenemos un sistema muy particular, la verificación de comportamiento, un método que está basado en los patrones de comportamiento del individuo, como su manera de redactar, la personalización de las herramientas de trabajo, etc.

Los sistemas basados en el comportamiento analizan estos patrones para detectar actividades sospechosas que puedan servir para detectar accesos a información no autorizados.

En este completo reportaje te hemos mostrado las razones más importantes que dejan claro que los sistemas de verificación en dos pasos mediante SMS no son especialmente seguros. Y, de paso, te proporcionamos algunas alternativas viables a dicho sistema de autenticación.

Cambió la ley pero recibo más llamadas no deseadas y SMS spam en mi móvil que nunca

Conoce más sobre el equipo de El Grupo Informático y nuestra política editorial. Puedes seguirnos en Facebook, X, Instagram, WhatsApp, Telegram o recibirnos en tu correo para no perderte las últimas noticias de tecnología.
  • Ver Comentarios