La autenticación de dos factores está en todas partes. Desde el momento en que inicias sesión en tu cuenta de Gmail hasta que accedes a tus datos financieros a través de PayPal, 2FA está ahí para darte la bienvenida como una forma más segura de iniciar sesión. Incluso lo encontrarás al configurar una PS5 o Xbox Series X. Diablos. , lo más probable es que ya te hayas acostumbrado hoy.
También conocida como autenticación multifactor, 2FA es una capa adicional de seguridad, utilizada por prácticamente todas las plataformas en línea, que detiene a muchos piratas informáticos de bajo nivel en sus pistas, protegiendo toda su valiosa información privada para que no se vulneren.
- Las mejores ofertas de telefonía en2021-2022
- Descubra los mejores teléfonos inteligentes en2021-2022
Por desgracia, las tácticas de piratería están evolucionando para siempre, y todo lo que se necesita es un ciberdelincuente astuto para encontrar un pequeño agujero en la armadura y saquear lo que alguna vez fueron cuentas impenetrables al contenido de su corazón. Pero no es necesario ser un genio para descifrar el código para obtener acceso a la cuenta de una víctima desprevenida.
De hecho, según el Informe de Investigaciones de Violación de Datos de Verizon de 2022-2023, el 61% de las 5250 violaciones de seguridad confirmadas que analizó el operador de red estadounidense involucraron credenciales robadas. Por supuesto, el propósito de la autenticación multifactor es evitar que los actores malintencionados obtengan acceso a una cuenta incluso si descubren una contraseña supersecreta.
Pero al igual que Scar dejó que Mufasa cayera en su perdición en una de las mayores traiciones de todos los tiempos, el método de seguridad también puede ser la causa principal de la actividad ciberdelincuente. ¿El verdadero traidor? Tu antiguo número de teléfono.
Para tener una mejor idea de cómo los atacantes pueden usar fácilmente la autenticación de dos factores en su contra, es mejor saber cuál es el método de seguridad en línea y cómo funciona. Si le ayuda, piense en su antiguo número de teléfono como Scar a lo largo de este artículo.
¿Qué es la autenticación de dos factores?
La autenticación multifactor (MFA) es un método de autenticación digital que se utiliza para confirmar la identidad de un usuario y permitirle acceder a un sitio web o aplicación a través de al menos dos pruebas. La autenticación de dos factores, más conocida como 2FA, es el método más utilizado.
Para que 2FA funcione, un usuario debe tener al menos dos credenciales importantes para iniciar sesión en una cuenta (con múltiples factores que generalmente involucran más de tres detalles diferentes). Esto significa que si un usuario no autorizado obtiene una contraseña, aún necesitará acceder a un correo electrónico o número de teléfono vinculado a la cuenta donde se envía un código especial para un nivel adicional de protección.
Por ejemplo, un banco requerirá un nombre de usuario y una contraseña para que un usuario pueda acceder a su cuenta, pero también necesita una segunda forma de autenticación, como un código único o reconocimiento de huellas digitales para confirmar la identidad de un usuario. Este segundo factor también se puede utilizar antes de realizar una transacción.
Como explicó la empresa de software Ping Identity, las credenciales requeridas de 2FA se dividen en tres categorías diferentes: "lo que sabes", "lo que tienes" y "lo que eres". En términos de "lo que sabe", o su conocimiento, esto se reduce a sus contraseñas, número PIN o respuesta a una pregunta de seguridad como "¿cuál es el apellido de soltera de su madre?" (algo que parece que nunca recuerdo).
“Lo que eres” es posiblemente la categoría más segura, ya que confirma tu identidad a partir de un rasgo físico exclusivo solo para ti. Esto generalmente se ve en teléfonos inteligentes, como un iPhone o un teléfono Samsung Galaxy, utilizando autenticación biométrica como una huella digital o un escaneo facial para obtener acceso.
En cuanto a "lo que tienes", se refiere a lo que tienes, que puede ser cualquier cosa, desde un dispositivo inteligente hasta una tarjeta inteligente. Generalmente, este método significa recibir una notificación emergente en su teléfono a través de SMS que debe confirmarse antes de obtener acceso a una cuenta. Para cualquier profesional que utilice Google Gmail para empresas, se encontrará con esta categoría.
Desafortunadamente, esa última categoría es motivo de preocupación, especialmente cuando se agrega el reciclaje de números de teléfono a la mezcla.
Reciclaje de números de teléfono
Según la Comisión Federal de Comunicaciones (FCC), más de 35 millones de números en los EE. UU. Se desconectan y vuelven a estar disponibles al reasignarlos a un nuevo suscriptor cada año. Claro, los números son infinitos y todo eso, pero solo hay un número limitado de combinaciones de 10 u 11 dígitos que una red móvil puede ofrecer a sus clientes.
La Oficina de Comunicaciones del Reino Unido (Ofcom), la entidad que asigna números de teléfono móvil a los proveedores de red del Reino Unido, declara (a través de The Evening Standard) que tiene una política estricta de "úselo o piérdalo" para el pago por uso. números de móvil. Vodafone desconecta y recicla un número de teléfono después de solo 90 días sin actividad, mientras que O2 lo hace después de 12 meses.
En los EE. UU., Los proveedores de red, incluidos Verizon y T-Mobile, permiten a los clientes cambiar y elegir los números disponibles que se muestran en las interfaces de cambio de números en línea a través de su sitio web o aplicación. Hay millones de números de teléfono reciclados disponibles, y cada día se acumulan más.
Los números reciclados pueden ser perjudiciales para quienes los poseían originalmente, ya que muchas plataformas, incluidas Gmail y Facebook, están vinculadas a su número de teléfono móvil para recuperar la contraseña o, y aquí está el truco, la autenticación de dos factores.
Cómo la 2FA lo pone en riesgo
Un estudio de la Universidad de Princeton descubrió la facilidad con la que cualquier persona puede obtener un número de teléfono reciclado y usarlo para varios ciberataques comunes, incluida la apropiación de cuentas e incluso negar el acceso a una cuenta manteniéndola como rehén y pidiendo un rescate a cambio de acceso.
Según el estudio, un atacante puede encontrar números disponibles y comprobar si alguno de ellos está asociado con cuentas en línea de propietarios anteriores. Al ver sus perfiles en línea y verificar si su número anterior está vinculado, los atacantes pueden comprar el número reciclado (solo $ 15 en T-Mobile) y restablecer la contraseña en las cuentas. Usando 2FA, recibirán e ingresarán el código especial enviado por SMS.
Los investigadores probaron 259 números que obtuvieron a través de los dos operadores de telefonía móvil de EE. UU. Y encontraron que 171 de ellos tenían una cuenta vinculada en al menos uno de los seis sitios web de uso común: Amazon, AOL, Facebook, Google, PayPal y Yahoo. Esto se denomina "ataque de búsqueda inversa".
Los investigadores encontraron otra variación del ataque que permitía a los actores malintencionados secuestrar cuentas sin tener que restablecer una contraseña. Uso del servicio de búsqueda de personas en línea BeenVerified, un pirata informático podría buscar una dirección de correo electrónico utilizando un número de teléfono reciclado y, a continuación, comprobar si las direcciones de correo electrónico han estado involucradas en violaciones de datos utilizando Have I Been Pwned ?. Si lo hubieran hecho, el atacante podría comprar la contraseña en un mercado negro de ciberdelincuentes y entrar en una cuenta habilitada para 2FA sin necesidad de restablecer una contraseña.
Para empeorar las cosas, los atacantes también pueden tomar su cuenta como rehén. Un truco desagradable consiste en que un pirata informático obtenga un número para registrarse en varios servicios en línea que requieren un número de teléfono. Una vez completado, suspenden el servicio para que el número se pueda reciclar para que un nuevo suscriptor comience a usarlo. Cuando el nuevo usuario intente suscribirse a los mismos servicios, el pirata informático será notificado a través de 2FA y le negará una forma de utilizar el servicio. El actor de la amenaza le pedirá a la víctima que pague un rescate si desea utilizar estos servicios en línea.
Usar 2FA de esta manera es atroz, pero eso no impide que suceda. T-Mobile revisó la investigación en diciembre y ahora les recuerda a los suscriptores que actualicen su número de contacto en cuentas bancarias y perfiles de redes sociales en su página de soporte de cambio de número. Pero eso es todo lo que el operador tiene el poder de hacer, lo que significa que aquellos que no estén informados estarán expuestos a ataques.
Formas alternativas de usar 2FA
En todo caso, los números de teléfono y 2FA no encajan muy bien. Sin embargo, la buena noticia es que ahora hay más opciones disponibles al optar por usar 2FA, incluidos los métodos biométricos o las aplicaciones de autenticación antes mencionados.
Sin embargo, estas opciones no siempre están disponibles y, a veces, los servicios en línea solo le brindan dos opciones para 2FA: su número de teléfono o su dirección de correo electrónico. Si no desea que los piratas informáticos hurguen en su información privada, lo mejor es optar por la autenticación de correo electrónico. Por supuesto, hay quienes no siempre usan sus correos electrónicos y, con el tiempo, a menudo pueden olvidar sus contraseñas. Sin contraseña, significa que no hay forma de obtener un código de autenticación.
Para solucionar esto, es mejor encontrar un administrador de contraseñas. LastPass solía ser el destino durante años gracias a su servicio de nivel gratuito, pero hay otros contendientes que vale la pena echarle un vistazo.
"¿Pero qué pasa si ya estoy usando mi número de teléfono para 2FA?" Te escucho preguntar. Si está considerando cambiar su número de teléfono, asegúrese de desvincular su número de teléfono de los servicios en línea a los que está conectado antes de realizar el cambio. Y, si ya ha hecho el cambio, vale la pena actualizar sus cuentas para deshacerse de cualquier Scars (números de teléfono) al acecho para apuñalarlo por la espalda cuando menos lo espere.
panorama
La autenticación de dos factores está en todas partes y llegó para quedarse. De hecho, Google pronto lo obligará a usar 2FA al iniciar sesión, y el gigante de la tecnología atestiguará un "futuro más seguro sin contraseñas". Esta no es una idea terrible, pero existe la posibilidad de que muchas personas utilicen sus números de teléfono como una forma de identificarse. Estamos seguros de que a los piratas informáticos de bajo nivel les gusta cómo suena eso.
Para evitar que esto suceda, una vez que 2FA comience a apoderarse de todas las plataformas en línea, todo lo que tiene que hacer es leer el título de este artículo y seguir nuestros consejos.