CNET también está disponible en español.

Ir a español

Don't show this again

WhatsApp: Cómo hacer videollamadas de grupo Disney Plus Películas para combatir la claustrofobia Series españolas para ver durante el encierro Audífonos inalámbricos con cancelación de ruido y baratos Sling TV

La autenticación de dos factores no es tan segura como crees

Los códigos de acceso de las aplicaciones de autenticación o SMS son mejores que las contraseñas, pero los hackers pueden explotar sus debilidades.

password frustration illustration
Brett Pearce/CNET

Probablemente hayas escuchado este consejo de seguridad: protege tus cuentas mediante la autenticación de dos factores. Los piratas informáticos la tendrán muy difícil, se dice, si emparejas una contraseña con un código enviado por mensaje de texto (SMS) o generado por una aplicación como Google Authenticator.

Pero hay un problema: esto se puede pasar por alto fácilmente. Si no, pregúntale al presidente ejecutivo de Twitter, Jack Dorsey. Los hackers obtuvieron acceso a la cuenta de Twitter de Dorsey mediante un ataque de intercambio de SIM que implica engañar a un operador para que cambie el servicio móvil a un nuevo teléfono.

Bancos, redes sociales y otros servicios en línea se están moviendo hacia la autenticación de dos factores para detener un torrente de hackeos y robo de datos. Mas de 555 millones de contraseñas han sido expuestas en varias situaciones. Incluso si el tuyo no está en la lista, el hecho de que muchos de nosotros reutilicemos las contraseñas, incluso los presuntos piratas informáticos, significa que es probable que sea más vulnerable de lo que crees.

No me malinterpretes. La autenticación de dos factores es útil. Es una parte importante de un enfoque más amplio llamado autenticación multifactor que hace que el inicio de sesión sea más complicado, pero también lo hace mucho más seguro. Como su nombre lo indica, la técnica se basa en la combinación de múltiples factores que incorporan diferentes cualidades. Por ejemplo, una contraseña es algo que conoces y una clave de seguridad es algo que tienes. Una huella digital o escaneo facial es simplemente parte de ti.

Intercepción de tu código

Sin embargo, la autenticación de dos factores basada en código no mejora la seguridad tanto como cabría esperar. Esto se debe a que el código es algo que tú conoces, como tu contraseña, incluso si tiene una vida útil corta. Si se se ve comprometido, eso también afectará tu seguridad.

Los hackers pueden crear sitios Web falsos para interceptar tu información, por ejemplo, utilizando un software llamado Modlishka, creado por un investigador de seguridad que quiere mostrar cuán susceptibles son los sitios Web a los ataques. Automatiza el proceso de piratería, pero no hay nada que impida a los atacantes escribir o usar otras herramientas.

Así es como funciona un ataque. Un correo electrónico o mensaje de texto te atrae al sitio Web falso, que los piratas informáticos pueden copiar automáticamente de los originales en tiempo real para crear falsificaciones convincentes. Allí, ingresas los detalles de inicio de sesión y el código que recibiste por SMS o una aplicación de autenticación. El hacker luego ingresa esos detalles en el sitio Web real para obtener acceso a tu cuenta.

Ataques mediante SIM

Luego está el ataque de intercambio de SIM que fue el que atacó al jefe de Twitter. Un hacker se hace pasar por ti y convence a un empleado de un operador como Verizon o AT&T para que cambie tu servicio telefónico al teléfono del hacker. Cada teléfono tiene un chip discreto, un módulo de identidad del suscriptor o SIM, que lo identifica en la red. Al mover tu cuenta a la tarjeta SIM de un hacker, él podrá leer tus mensajes, incluidos todos tus códigos de autenticación enviados por SMS.

No descartes la autenticación de dos factores solo porque no es perfecta. Todavía es mucho mejor que una contraseña sola y más resistente a los intentos de pirateo a gran escala. Pero definitivamente considera protecciones más fuertes, como claves de seguridad de hardware, para cuentas sensibles. Facebook, Google, Twitter, Dropbox, GitHub, Microsoft y otros ofrecen compatibilidad con esa tecnología hoy en día.

Reproduciendo: Mira esto: Alternativas a Google Chrome
5:19