Astronomía, divulgación, descubrimientos, ecología, innovación...
La privacidad y la seguridad deben ser celosamente protegidas
Hace tiempo, la información personal de 15 millones de cuentas iraníes de Telegram quedaron expuestas en la Red. Además, la condición de activistas y periodistas de algunas personas quedó al descubierto. La privacidad y la seguridad deben ser celosamente protegidas, especialmente en países donde la libertad de expresión y opinión pueden costarte la vida. Un grupo de cibercriminales está detrás de los hechos. El talón de Aquiles: el envío de SMS a un teléfono móvil como segundo factor de autenticación (2FA).
Cuando en España se está empezando a recomendar el uso del doble factor de autentificación para el uso de cuentas de correos web y redes sociales, en Estados Unidos se está empezando a descartar la opción del envío de SMS como segunda capa de seguridad en el doble factor de autentificación (2FA). EL Instituto Nacional de Estándares y Tecnología (NIST) de Estados Unidos quiere prohibir el sistema de autenticación basado en el envío de SMS para los servicios que se conecten a servicios informáticos del gobierno. El motivo: no es seguro.
A pesar de los sistemas de cifrado que usa Telegram (no hay sistema seguro por muchas medidas de protección que se tengan), durante una famosa conferencia de seguridad informática norteamericana, dos expertos ciber presentaron cómo se había producido el ataque. No fue cuestión de que el sistema de Telegram presentara una vulnerabilidad que pueda ser explotada sino que a veces, como en esa ocasión, la ingeniería social permitió a los criminales acceder a información utilizando los datos obtenidos de los SMS que se mandaban a los dispositivos móviles que utilizaban este sistema de autentificación para registrarse en la aplicación.
Seguro que os suena el sistema. Estrenas teléfono o cambias tu SIM a otro dispositivo diferente y tienes que volver a instalar la aplicación. Una vez que descargas Telegram, te envía los códigos de autorización a través de tu operadora, la que sea, por SMS. Por desgracia, este SMS puede fue interceptado por los atacantes. No emplearon ningún sistema complejo. Lo que hicieron fue actuar en connivencia con la operadora de servicios que les proporcionaba los códigos de activación por SMS.
Telegram admitió la fuga de información e implementaron medidas para que no volviera a suceder. Puede que veas remota la posibilidad de que en España una operadora de Internet actúe en connivencia con los cibercriminales pero en todo caso, el sistema de SMS no es seguro (y más si el teléfono está siendo usado por VoIP, voz IP) desde el momento que el SMS pueda ser interceptado o redirigido. Por tanto, de lo que se trata es de implementar otras técnicas para el 2FA y minimizar riesgos.
Twitter hace unas semanas “recomendaba” a sus usuarios utilizar el 2FA, hecho que coincidió justo después de que les limpiaran 32 millones de passwords de sus bases de datos. Ahora, al igual que Facebook, curiosamente, solo te ofrece el SMS como segundo sistema de autenticación y, como hemos visto, no es el sistema más seguro.
Al caso es que ya se están levantando voces en contra y a favor del SMS como sistema de autentificación. No obstante, te conviene saber lo que hay y después, con la información de la que dispones, eliges.
La gran mayoría de servidores de correo web como Outlook, Gmail o redes sociales permiten la doble autentificación. Precisamente la exigencia del SMS como 2FA persistirá el mayor tiempo posible ya que están desesperados por conseguir y acaparar el mayor número de datos personales del usuario y el teléfono es la joya de la corona.
Recomendar el uso de la doble autentificación (2FA, two factor authentication) es necesario. Es cierto que tener una segunda capa de seguridad te evitará formar parte de las listas de cuentas con sus passwords hackeadas por los cibercriminales a alguna red social o servicio web expuestas por los foros. También te evitará formar parte de las listas de cuentas que hay publicadas informando que no tienen la 2FA y que por tanto son objetivos más vulnerables mediante el uso de fuerza bruta para la obtención de las passwords. En el momento que obtengan tu contraseña, como no andes rápido, te limpian la cuenta.
La idea de establecer un doble factor de autentificación es el establecimiento de dos capas de seguridad. La primera, comprobar que hay una persona que conoce el password del email (que también puede ser el cibercriminal). La segunda, establecer una segunda capa de seguridad que impida el acceso indiscriminado a esas cuentas mediante fuerza bruta o robo y es autenticar por número de teléfono configurado a esa cuenta y legitimar su posesión. El sistema usual que ofrecen casi todos los servicios web y las aplicaciones es el envío de un SMS. Únicamente haría falta tener acceso al número de teléfono de la víctima o un duplicado de la tarjeta SIM para poder interceptar el SMS (el IMEI del teléfono identifica el hardware no la SIM). Por tanto, si eres un objetivo deseado, con estos pasos de ingeniería social como le sucedió a Trump, podrías quedarte sin correo o sin perfil de red social una vez han conseguido tener tu número de teléfono (que no tu dispositivo móvil).
Por tanto, el sistema de envío de SMS a un número de teléfono no es 100% seguro ni significa que eres el legítimo y verdadero poseedor del teléfono. Si realmente quieres asociar una cuenta al dispositivo móvil que usas y no al número de teléfono, puedes usar aplicaciones como Google Authenticator para Android, iPhone o BlackBerry, Amazon AWS MFA, Duo Mobile, entre otras. Estas apps pueden generar y recibir al instante códigos de verificación, incluso cuando tu dispositivo no tenga conectividad a la red o de datos. Solo tienes que descargarte esta aplicación de las tiendas oficiales y configurar los mensajes de SMS y voz en tu móvil, así podrás enlazarlo directamente a tu cuenta de Gmail del teléfono que SÍ usas. De esta forma te evitas que la gente reciba el código utilizando tu SIM en otros móviles o SIMS duplicadas.
Existe otro sistema que consiste en insertar una llave de seguridad en un puerto USB de tu ordenador y antes de autenticarse, te puede ayudar, por ejemplo, a evitar el phishing, (si en vez de autenticarte en Facebook, lo haces en la de tu entidad bancaria) ya que detecta las páginas web falsas o duplicadas.
Siendo prácticos, es cierto que es un engorro tener que estar autenticándote dos veces para acceder a tu cuenta de correo electrónico o tu perfil en una red social. Si es en tu móvil o PC, si marcas como confiables la contraseña y los dispositivos desde los que accedes, el 2FA será igual de útil lo que un peine a un libro.
Por tanto, si gestionas cuentas corporativas, institucionales o que requieran un nivel de seguridad alto, por la información sensible que manejas, no deberías cuestionártelo. Empezar a explorar otros métodos alternativos al SMS, te harán vivir un poco más tranquilo.