Vulnerabilidades en el segundo factor

Buenas, hace unos días leía una noticia que me había inquietado pues se había encontrado una vulnerabilidad en el uso del segundo factor,  como bien sabemos no es infalible pero si nos da cierta capa de seguridad en acceso a nuestras cuentas.


La noticia en si indicaba el mal uso del segundo factor, que como consecuencia de ello condenaba a un banco a pagar a un cliente el dinero que le habían robado por phishing y aquí es donde comenzaba el problema que se traducía en que los bancos debieran de asociar a la cuenta de un usuario, los números de teléfono (fijo o móvil) desde donde ese cliente suele comunicarse con el Banco.

Algunas aplicaciones, ya vinculan el móvil con la aplicación del banco de forma de cerrar este circulo de seguridad, sin embargo el vació esta en la atención telefónica, pues los operadores debían del comprobar si el número desde donde se realiza la llamada es uno habitual del cliente. Como siempre existe la posibilidad que nos roben o perdamos el móvil, también debieran de considerar la opción de registrar más de un número o de un email, además del que opera normalmente con el Banco.

La noticia, https://noticias.juridicas.com/actualidad/jurisprudencia/17104-la-justicia-condena-a-un-banco-a-pagar-a-un-cliente-el-dinero-que-le-robaron-por-phishing-/

Es muy importante realizar una correcta implementación del segundo factor, ya que si asociamos un dispositivo, como en el caso de las llaves USB, estamos realmente blindando la autenticación del usuario.

La vulnerabilidad principal se encuentra siempre de cara del usuario, que es bombardeado con SMS o correos que se hacen pasar por entes oficiales, con el objetivo de poder quedarse con el segundo factor y capturar esta información con engaños.

En este sentido nace Fido2, con el objetivo de suministrar una alternativa segura al segundo factor y que en esencia consiste en vincular el dispositivo con el acceso, evitando que se pueda acceder a nuestra cuenta desde otros dispositivos no validados por nosotros, el móvil es el centro de todo.

La noticia, https://unaaldia.hispasec.com/2022/04/vulnerabilidades-del-multiple-factor-de-autenticacion.html

Como podemos ver los esfuerzos por evitar el phishing y los engaños no son pocos, pero aún debemos de ser muy cuidadosos cuando accedemos a los servicios bancarios y desde donde lo hacemos.

Saludos,

Pedro.