Por qué no es buena idea usar los SMS como segundo factor de autenticación

Hola, lamentablemente como suele ocurrir la simpleza en los procesos no siempre va acompañada de la seguridad, es decir, normalmente lo que nos resulta muy fácil y cómodo de hacer puede llevarnos a realizar un proceso con cierto riesgo. Esto es lo que ocurre cuando utilizamos los SMS o mensajes de texto controlados por la operadora, como medio de envío de datos de autenticación.



Que son los SMS, pues según la wikipedia:

El servicio de mensajes cortos o servicio de mensajes simples, más conocido como SMS (por las siglas del inglés Short Message Service), es un servicio disponible en los teléfonos móviles que permite el envío de mensajes cortos (con un límite de caracteres) entre teléfonos móviles. Por lo general las operadoras telefónicas cobran por cada mensaje enviado.

Con el tiempo los SMS han sido utilizados como método de autenticación, como un segundo factor, lo cual le ha otorgado en algunas situaciones una importancia vital para poder acceder a un servicio como puede ser el de un banco. También empleado para poder acceder a sistemas como el correo electrónico de Google o Dropbox, por ejemplo, sin embargo debido a las vulnerabilidades asociadas al uso de este tipo de mensajería empresas como Google han dejado de utilizarla y poco a poco migran los servicios hacia aplicaciones.

Uno de los principales problemas con los SMS es que son utilizados para realizar sobornos o engaños que nos llevan a dar el número que hemos recibido para que otros accedan en nuestro nombre. Esto ocurre porque a través del uso de la ingenería social se intenta convencer a los usuarios de que están accediendo a un sistema fiable.

Problemas conocidos

Los problemas más comunes que tienen los SMS cuando se usan  como método de autenticación:

  • El mensaje SMS es recibido en las notificaciones del móvil y el número es visible por cualquiera que tenga acceso visual a la pantalla de bloqueo.
  • Los mensajes SMS están asociados a la tarjeta SIM del teléfono por lo que si se extrae esta tarjeta físicamente y se pone en otro terminal se tiene acceso a las contraseñas que nos envíen por SMS.
  • A veces instalamos aplicaciones en nuestros dispositivos y estas solicitan acceso a los SMS, obviamente esto es un fallo de seguridad ya que tendrán acceso a leer los mensajes que recibamos por ahí. Este problema es más común en entornos Android, ya que los permisos de las aplicaciones no siempre son evidentes para los usuarios. En este caso estaríamos hablando de un troyano es decir una aplicación malintencionada que se hace pasar por algo legal.
  • También puede ocurrir que haciendo uso de ingenería social o de engaño, alguien se haga con una copia de nuestra sim solicitándola al operador por nosotros. Normalmente para esto el operador simplemente pedirá algunos datos que demuestren que somos los propietarios de la línea, por esta razón es importante no divulgar información personal en Internet ni en redes sociales.
  • Interceptar el protocolo de mensajería es también otro medio, aunque pueda parecer más difícil de lo que realmente es para un cibercriminal.
Como consecuencia de esta problemática la recomendación es usar el doble factor de autenticación a través de una aplicación, esto ya lo he tratado en este blog y mi recomendación es revisar todas las cuentas o servicios que admiten doble autenticación para configurarlas adecuadamente a través de una aplicación desestimando el uso de los SMS.

Como aplicaciones hay muchas opciones, sin embargo yo sugiero usar aquellas que son multiplataforma y por tanto, puedes tenerla en el movil y en vuestro ordenador de escritorio, como el caso de Authy o incluso se puede usar un gestor de contraseñas que también incluya el registro del segundo factor.

Caso real de un engaño por SMS...minuto: 2:06 del programa de TVE. 

Bueno, espero que esto os haga pensar un poco y reflexionar en que servicios usamos los SMS y por tanto debiéramos de cambiarlos.

Saludos,

Pedro.