Todavía recuerdo la primera ocasión en la que, tras activar la autenticación en dos pasos, 2FA, para acceder a un determinado servicio online, recibí un menaje SMS con el código que se me pedía para acceder a dicho servicio tras introducir la contraseña. La sensación de seguridad fue enorme, incluso por un momento llegué a pensar que mi seguridad ya nunca se vería comprometida. Desde entonces, hace ya unos años, este sistema de seguridad se ha generalizado, lo que ha dado lugar tanto a buenas como a malas noticias.
Por hacer un resumen de la situación actual, podemos decir que 2FA sigue ofreciendo un gran nivel de seguridad. Sin duda muy, muy superior a un acceso de un solo factor (generalmente contraseña). Sin embargo, y como en casi todo lo que es sometido a un análisis exhaustivo, se han ido descubriendo problemas, así como sistemas que en determinadas circunstancias pueden llegar a eludir esta protección. Algo especialmente peligroso, porque la falsa sensación de gozar de un 100% de seguridad, puede hacer (y así ocurre habitualmente) que se actúe de manera más descuidada frente a las amenazas.
MS Recomienda
Conscientes de este problema, son muchos los investigadores que llevan años trabajando en la búsqueda de soluciones a dichos problemas. Y según hemos podido saber hoy por Apple Insider, investigadores de Apple y Google están colaborando en el desarrollo de un sistema, gracias al cual los accesos a servicios online en los que se empleen los mensajes SMS como uno de los elementos de autenticación.
¿Cuál es el problema de 2FA con SMS?
Al final, cuando hablamos de este sistema, lo que hacemos es hablar de un acceso con dos contraseñas: la que empleamos siempre y una de un solo uso (OTP, de One Time Password). La primera la conocemos perfectamente, pues la hemos definido nosotros mismos, y la segunda la recibimos cada vez que deseamos acceder al servicio. Y, claro, ambas tenemos que introducirlas manualmente, y aquí ya nos encontramos un problema más serio, puesto que un exceso de confianza nos puede llevar a introducirla en cualquier scam.
Y esto se suma a que, aunque el envío de claves OTP mediante SMS para accesos 2FA lleva años empleándose, no se ha definido un estándar para los mismos. Algo que puede parecer poco relevante, pero no lo es si pensamos en que hay apps y servicios que intentan identificar el mensaje entrante y extraer el código del mismo, para hacer la operación más cómodo para el usuario. Algo que, en condiciones seguras, sin duda se agradece, pero que puede ser empleado con aviesas intenciones.
Así, la propuesta nacida en un equipo de desarrollo de Apple y que ha encontrado apoyo por parte de Google, consiste básicamente en la definición de un estándar para los mensajes SMS en los que los usuarios reciben sus claves OTP para los accesos protegidos con 2FA. La propuesta, que a día de hoy cuenta con el apoyo de la comunidad, es la siguiente:
123456 is your [website] authentication code.
@website.com #123456
La primera línea está destinada a los usuarios, lo que les permite determinar de qué sitio web proviene el código SMS OTP. La segunda línea es para aplicaciones móviles y navegadores, que podrán extraer el código OTP y finalizar la operación 2FA. Si hay una falta de coincidencia y la operación de autocompletar falla, se le pedirá al usuario que revise el SMS e ingrese el código a mano.
En palabras de los desarrolladores involucrados en su creación, «Esta propuesta intenta reducir algunos de los riesgos asociados con la entrega por SMS de códigos únicos […] No intenta reducirlos ni resolverlos todos. Por ejemplo, no resuelve el riesgo de secuestro de la entrega de SMS, pero intenta reducir el riesgo de phishing».
Fuente:https://www.muyseguridad.net
