Empresas que adoptaron autenticación por SMS para iniciar sesión: surge el debate sobre su responsabilidad en los ataques de SIM swapping

 (keydiscussions.com)
1 puntos por GN⁺ 2024-02-07 | 1 comentarios | Compartir por WhatsApp

La responsabilidad de las empresas que adoptaron el inicio de sesión de cuentas basado en SMS

  • La razón por la que los ataques de SIM swapping continúan es que muchas empresas como Apple, Dropbox, PayPal, Block y Google adoptaron la mala idea de usar SMS para restablecer contraseñas e iniciar sesión en cuentas.
  • Un ataque de SIM swapping ocurre cuando un criminal solicita a la operadora mover el número telefónico de la víctima a su propio teléfono, y con eso recibe por SMS la información de inicio de sesión de la cuenta para robar dinero e información sensible.
  • La manera de prevenir los ataques de SIM swapping es simple: las empresas no deberían permitir el inicio de sesión ni el restablecimiento de contraseñas mediante SMS, y si ofrecen 2FA por SMS, también deberían ofrecer opciones más seguras como Authy o Google Authenticator.

Problemas de la autenticación basada en SMS

  • La autenticación por SMS se ofrece como un método general para proteger la seguridad de los clientes, pero aunque es conveniente en comparación con métodos más seguros como la autenticación por correo electrónico, es vulnerable en términos de seguridad.
  • Enviar mensajes a clientes por SMS es como mandar una postal sin cifrar; cualquiera puede abrir el buzón e interceptar el mensaje, como ocurre en los ataques de SIM swapping.
  • El SMS no es la mejor opción para restablecer contraseñas, y usar Authy o el correo electrónico es una mejor opción de 2FA.

El lado negativo de la adopción tecnológica

  • Apple, Google y otras empresas reforzaron el papel del SMS al introducir funciones que permiten restablecer contraseñas e iniciar sesión en cuentas mediante SMS.
  • Los proveedores de nube obtienen ganancias al ofrecer códigos por SMS, lo que en esencia equivale a vender una tecnología inherentemente imperfecta como si fuera una solución segura.
  • Servicios financieros como Wells Fargo, Cash App, Robinhood, Schwab, PayPal y Bank of America también ofrecen funciones de restablecimiento/inicio de sesión de cuentas por SMS.

Los malentendidos de los clientes

  • Los clientes no entienden la naturaleza imperfecta del restablecimiento por SMS y prefieren su comodidad por encima de opciones como el restablecimiento por correo electrónico o los códigos de inicio de sesión mediante apps 2FA como Authy.
  • Las empresas tecnológicas han fallado en proteger a los clientes, y se espera que la situación cambie mediante demandas y legislación.

La opinión de GN⁺

  • La autenticación basada en SMS, aunque conveniente, tiene vulnerabilidades de seguridad, por lo que las empresas deben migrar a métodos de autenticación más seguros.
  • Los ataques de SIM swapping siguen ocurriendo a pesar de ser un problema prevenible, y esto se debe a la mala adopción tecnológica por parte de las empresas.
  • Este artículo transmite un mensaje importante: las empresas tecnológicas deben priorizar la seguridad de sus clientes, desechar los sistemas de autenticación basados en SMS y adoptar métodos más seguros, ofreciendo así una perspectiva valiosa para usuarios y profesionales del sector.

Lecturas relacionadas

1 comentarios

 
GN⁺ 2024-02-07
Opinión de Hacker News

  • Quejas sobre la incomodidad de los códigos de verificación por SMS

    • Antes, 1Password autocompletaba los códigos TOTP, pero ahora, debido a la verificación por SMS, hay que pagar roaming internacional o configurar el reenvío de SMS.
    • Se argumenta que, en lugar de dar el número de teléfono a todas las empresas, las apps de autenticación deberían vincularse con SMS.
    • Vincular el número de teléfono a una cuenta es malo por razones como: pérdida/robo del teléfono, mudanza a otro país, ataques por SMS, reutilización del número de teléfono y necesidad de mantener un plan telefónico de pago.

  • Experiencia con el problema de SMS de Payoneer

    • Hubo un problema con la autenticación por SMS de Payoneer para usuarios de Movistar en Argentina, pero no recibió atención en Hacker News.
    • Un atacante hackeó la pasarela de SMS que enviaba 2FA a clientes de Movistar, descubrió los correos electrónicos de usuarios de Payoneer, cambió sus contraseñas y transfirió dinero.
    • También hay que tener cuidado porque Facebook, Twitter y otros usan la misma pasarela de SMS para reducir costos.

  • Problemas para iniciar sesión al perder el número de teléfono

    • Si se pierde el número de teléfono, puede surgir el problema de no poder iniciar sesión en la cuenta de Google.

  • Comparación entre la incomodidad del SMS y la conveniencia de TOTP

    • La verificación por SMS implica la molestia de tener que buscar el teléfono, mientras que TOTP es más cómodo porque los códigos se guardan en KeePassXC.

  • Opinión a favor de la experiencia de usuario (UX) de la verificación por SMS

    • El inicio de sesión y la recuperación de cuenta por SMS ofrecen una buena experiencia de usuario, y las operadoras deberían reforzar la seguridad.

  • Quejas sobre las restricciones al uso de números de Google Voice

    • Algunas empresas afirman que los números de Google Voice no pueden usarse para verificación o los consideran números inválidos.

  • Necesidad de la verificación por SMS y el papel de las operadoras

    • Exigir a los usuarios comunes que instalen una app es una carga importante, y el SMS es la única solución realmente práctica para el usuario promedio.
    • Se sostiene que hay que hacer más difícil el SIM swapping.

  • Propósito de la verificación por SMS y postura de las empresas

    • La verificación por SMS es efectiva para dos objetivos: demostrar la propiedad de la cuenta y limitar la creación de cuentas por parte de usuarios ilegítimos.
    • Las empresas no ofrecen la mejor solución de seguridad al tercerizar en las compañías telefónicas el proceso KYC (Know Your Customer).

  • Críticas a la verificación por SMS y el problema de trasladar la responsabilidad

    • Los críticos culpan a las empresas que usan verificación por SMS, pero en realidad quienes deben ser responsables son los criminales.
    • La responsabilidad por los ataques de SIM swapping recae en los criminales.