Autenticación SMS de dos factores: un método de seguridad peor de lo que parece

 (ccc.de)
2 puntos por GN⁺ 2024-07-12 | 1 comentarios | Compartir por WhatsApp

  • Contraseñas de un solo uso y SMS

    • Las contraseñas de un solo uso a menudo se envían por SMS
    • Investigadores de seguridad del CCC obtuvieron acceso en tiempo real a más de 200 millones de mensajes SMS enviados por más de 200 empresas

  • Autenticación de dos factores por SMS (2FA-SMS)

    • 2FA-SMS es un método para aumentar la seguridad de la autenticación
    • Se requiere un código dinámico enviado por SMS junto con una contraseña estática
    • Al iniciar sesión, el usuario debe ingresar este código, lo que demuestra la contraseña (primer factor: conocimiento) y el acceso al número telefónico (segundo factor: posesión)
    • Solo con una contraseña robada no se puede secuestrar la cuenta del usuario

  • Vectores de ataque bien conocidos

    • Los atacantes pueden interceptar mensajes SMS mediante SIM swapping o explotando vulnerabilidades SS7 de la red móvil
    • Mediante ataques de phishing, se puede inducir a los usuarios a revelar contraseñas de un solo uso
    • El CCC no recomienda usar SMS como segundo factor desde 2013
    • Aun así, 2FA-SMS se usa ampliamente y ofrece más seguridad que la autenticación solo con contraseña

  • ¡Ahora también se puede ver en línea!

    • El CCC demostró un ataque antes pasado por alto contra 2FA-SMS
    • Los proveedores de servicios envían grandes volúmenes de SMS para distintas empresas y servicios, y pueden acceder al contenido de los mensajes
    • Por lo tanto, la seguridad del proceso de autenticación depende de la seguridad de estos proveedores

  • El error de IdentifyMobile

    • IdentifyMobile compartía contraseñas de un solo uso en internet en tiempo real
    • El CCC pudo acceder a estos datos por casualidad
    • Bastó con adivinar un subdominio llamado idmdatastore
    • Además del contenido de los SMS, también se podían ver el número de teléfono del destinatario, el nombre del remitente y otra información de la cuenta

  • 200 millones de SMS de más de 200 empresas

    • Se vieron afectadas más de 200 empresas, entre ellas Google, Amazon, Facebook, Microsoft, Telegram, Airbnb, FedEx y DHL
    • Se filtró un total de 198 millones de SMS
    • Con solo observar el feed en tiempo real, era posible secuestrar números de WhatsApp, realizar transacciones financieras o iniciar sesión en varios servicios si se conocía la contraseña

  • (Todavía) no es una catástrofe

    • Para abusar de los códigos SMS, normalmente también se necesita la contraseña
    • Sin embargo, los datos también incluían enlaces de "inicio de sesión con 1 clic"
    • En el caso de algunas grandes empresas, solo se vieron afectados servicios específicos protegidos por IdentifyMobile
    • La negligencia de IdentifyMobile expuso a empresas y clientes a un gran riesgo
    • Departamentos de protección de datos de todo el mundo están recibiendo consultas similares en avalancha

  • No conservamos los datos

    • Sin embargo, no se puede descartar que otras personas hayan tenido acceso

  • 2FA-SMS es mejor que nada, pero se deben usar otros métodos

    • Es más seguro usar contraseñas de un solo uso generadas en una app o tokens de hardware, y además son independientes de la red móvil
    • Si esta opción está disponible, se recomienda usarla
    • Y cualquier segundo factor es mejor que una simple contraseña

Resumen de GN⁺

  • Este artículo trata sobre las vulnerabilidades de seguridad de la autenticación de dos factores basada en SMS
  • Debido a un error de IdentifyMobile, se filtraron más de 200 millones de SMS, lo que generó un gran riesgo para muchas empresas y clientes
  • 2FA-SMS es más segura que una simple contraseña, pero es mejor usar contraseñas de un solo uso basadas en apps o tokens de hardware
  • Este artículo es útil para personas interesadas en la seguridad y advierte sobre los riesgos de la autenticación basada en SMS

Lecturas relacionadas

1 comentarios

 
GN⁺ 2024-07-12
Opiniones de Hacker News

  • Comparte la experiencia de un familiar o amigo que cayó en un ataque de phishing dirigido a través de Google Ads

    • El atacante publicó anuncios con búsquedas como "BANKNAME login"
    • Ingresó un código 2FA en un sitio falso, pero luego le pidieron un segundo código
    • El segundo código se usó para agregar un nuevo destinatario de "pay anyone"
    • Al final perdió dinero, pero después lo recuperó

  • Tiene dos cuentas bancarias, una usa 2FA por SMS y la otra usa una app

    • Pensaba que la app era más segura por defecto, pero en ciertas situaciones el SMS puede ser mejor
    • El 2FA ideal genera tokens distintos según el tipo de transacción

  • Sospecha que las empresas que fuerzan 2FA por SMS no se preocupan por la seguridad, sino que quieren el número de teléfono

    • NIST recomienda no usar 2FA por SMS
    • Muchos bancos obligan a usar 2FA por SMS porque sus apps no funcionan en teléfonos rooteados

  • Probó usar ChatGPT 4 para analizar capturas de pantalla de sitios web bancarios y verificar si eran phishing

    • Al cambiar una sola letra de la URL, lo detectó como un intento de phishing
    • El modelo podría analizar capturas automáticamente y decidir si son legítimas o no

  • En el Reino Unido, casi todas las transacciones bancarias en línea se verifican por SMS

    • Parece ser un requisito legal
    • El sistema anterior de tarjeta + lector de tarjetas + PIN era más seguro
    • Espera que se reconozca que este sistema fue una mala decisión y se corrija

  • El artículo está confundiendo dos problemas de seguridad distintos

    • Los enlaces de "1-click login" son peligrosos solo con tener acceso al SMS
    • Los códigos 2FA son un segundo factor, así que preocupan menos porque también requieren contraseña

  • Suecia resolvió este problema con BankID

    • Fue posible gracias a la cooperación entre instituciones públicas y privadas
    • Se usa para iniciar sesión y para 2FA en servicios del gobierno y en la mayoría de los bancos
    • Sorprende que no exista un sistema así en otros países o en toda la UE

  • El mensaje del bucket de S3 se actualiza cada 5 minutos

    • No solo se ve afectado Twilio Verify (API de 2FA), sino también todos los SMS enviados a través de este proveedor

  • Varias instituciones financieras exigen 2FA por SMS y no ofrecen opciones HOTP/TOTP