Las 5 razones principales para no usar SMS para la autenticación multifactor

por

 

Usar SMS como un medio adicional para autenticar su contraseña es mejor que nada, pero no es el enfoque más confiable. Tom Merritt enumera cinco razones por las que los SMS no deben usarse para MFA.

La autenticación de múltiples factores (MFA), o como solíamos llamarla autenticación de dos factores, es esencial: significa que no confía solo en su contraseña para la seguridad.

Esa contraseña es algo que sabe, pero con MFA también depende de otros factores, como algo que es (su rostro, huella digital, etc.) o algo que tiene, como una llave de seguridad.

Los SMS son el factor adicional más utilizado porque casi todo el mundo lo tiene, y es un poco más fácil de administrar para los desarrolladores, pero también es el menos seguro.

Si bien es mejor que nada, es mucho más seguro usar una aplicación de autenticación o una clave de seguridad física. Aquí hay cinco razones para no usar SMS para MFA.

 

  1. Los SMS y las llamadas de voz no están encriptados. En cambio, se transmiten en texto claro, lo que facilita su interceptación. Los atacantes decididos tienen acceso a una gran cantidad de herramientas, desde radios definidas por software hasta celdas FEMTO y servicios de intercepción SS7.
  2. Los códigos SMS son vulnerables al phishing. Una herramienta llamada Modlishka usa contenido real del sitio que está imitando para que ingreses tu información y te deja en ese sitio al final para que ni siquiera te des cuenta de que estabas allí. CredSniper y Evilginx son herramientas de phishing similares. Una YubiKey o similar no es vulnerable a este ataque.
  3. Los empleados de la compañía telefónica pueden ser engañados. Los atacantes pueden engañar a un empleado para que transfiera un número de teléfono a la tarjeta SIM del atacante, lo que significa que los códigos de seguridad se envían a ellos en lugar de a usted.
  4. Interrupciones. Las aplicaciones de autenticación y las claves de seguridad funcionan sin conexión. Los SMS necesitan que el servicio telefónico esté disponible para funcionar y, a veces, el sistema telefónico puede fallar cuando Internet no lo hace.
  5. No es probable que los SMS sean más seguros. A medida que la autenticación multifactor se vuelve más común, más atacantes la atacarán. Los atacantes suelen apuntar al eslabón más débil de la seguridad y con MFA, los SMS son el eslabón más débil.

Dicho todo esto, si SMS es su única opción, ¡utilícelo! Tener SMS activados como autenticación multifactor es aún mejor que no tener otros factores y simplemente depender de una contraseña. Si tiene la opción, puede optar por una aplicación de autenticación o, mejor aún, una clave de seguridad como YubiKey.

Sigue navegando por nuestra web viendo más artículos.

istock-963458488encrypt.jpg
Imagen: iStockphoto / Traitov

Publicaciones relacionadas:

  1. Las 4 razones principales para usar Samsung DeX para el trabajo
  2. Por qué se debe configurar la autenticación multifactor para todos sus servicios y dispositivos
  3. 6 razones por las que debes usar YouTube Go [Apk Download and How to]
  4. 3 razones para cambiar a un mouse inalámbrico para juegos

Deja un comentario