Instan a usuarios (y empresas) a dejar de usar la autenticación multifactor basada en teléfonos (SMS)

Iniciado por r32, 13 Noviembre 2020, 00:35 AM

0 Miembros y 1 Visitante están viendo este tema.

r32

Microsoft insta a los usuarios a que abandonen las soluciones de autenticación multifactor (MFA) basadas en teléfono, como los códigos de un solo uso enviados a través de SMS y llamadas de voz, y en su lugar los reemplacen con tecnologías MFA más nuevas, como autenticadores basados en aplicaciones y claves de seguridad.
La advertencia proviene de Alex Weinert, director de seguridad de identidad de Microsoft. Durante el año pasado, Weinert ha estado abogando en nombre de Microsoft, instando a los usuarios a adoptar y habilitar MFA para sus cuentas en línea. Citando estadísticas internas de Microsoft, Weinert dijo en una publicación de blog el año pasado que los usuarios que habilitaron la autenticación multifactor (MFA) terminaron bloqueando alrededor del 99,9% de los ataques automatizados contra sus cuentas de Microsoft.

En una publicación reciente, Weinert dice que si los usuarios tienen que elegir entre varias soluciones MFA, se deben mantener alejados de la MFA basada en teléfono. El ejecutivo cita varios problemas de seguridad conocidos, no con MFA, sino con el estado actual de las redes telefónicas.

Weinert dice que tanto los SMS como las llamadas de voz se transmiten en texto sin cifrar y pueden ser fácilmente interceptados por atacantes determinados, utilizando técnicas y herramientas como radios definidas por software, células FEMTO o servicios de intercepción SS7.

Los códigos de un solo uso basados ​​en SMS también son atacables a través de herramientas de phishing de código abierto y fácilmente disponibles como Modlishka, CredSniper o Evilginx.

Además, se puede engañar a los empleados de la red telefónica para que transfieran números de teléfono a la tarjeta SIM de un delincuentes, en ataques conocidos como intercambio de SIM, lo que permite a los atacantes recibir códigos MFA únicos en nombre de sus víctimas.

Además de estos, las redes telefónicas también están expuestas a regulaciones cambiantes, tiempos de inactividad y problemas de rendimiento, todos los cuales afectan la disponibilidad del mecanismo MFA en general, lo que, a su vez, evita que los usuarios se autentiquen en su cuenta en momentos de urgencia.

Los SMS y las llamadas de voz son el método MFA menos seguro en la actualidad
Todos estos hacen que los SMS y la MFA basada en llamadas "sean los métodos de MFA menos seguros disponibles en la actualidad", según Weinert.

El ejecutivo de Microsoft cree que esta brecha entre SMS y MFA basada en voz solo se ampliará en el futuro. A medida que la adopción de MFA aumenta en general, con más usuarios adoptando MFA para sus cuentas, los atacantes también estarán más interesados en romper los métodos de MFA, y los SMS y MFA basados en voz se convertirán naturalmente en su objetivo principal debido a su gran adopción.

Weinert dice que los usuarios deben habilitar un mecanismo MFA más sólido para sus cuentas. Pero si los usuarios quieren lo mejor, deberían optar por las claves de seguridad de hardware, que Weinert clasificó como la mejor solución MFA en una publicación de blog que publicó el año pasado.

Esto no significa que los usuarios deban deshabilitar SMS o MFA basado en voz para sus cuentas. SMS MFA sigue siendo mucho mejor que ningún MFA.

Fuente: https://www.zdnet.com/article/microsoft-urges-users-to-stop-using-phone-based-multi-factor-authentication/

Saludos.

#!drvy

Yo odio a el MFA que implementan algunas compañías como Facebook donde te piden un código de autentificación que puedes generar por app PERO a la vez te mandan el SMS con el mismo código al móvil. Es decir, no solo no te dejan elegir, si no que aceptan ambos casos xD


Aparte, un problema todavía mayor es que el 99% todos los sistemas que he visto, tienen como método de recuperación de cuenta, el envío de un código por SMS. Es decir,  el asaltante se puede saltar el MFA igualmente aunque no sea un MFA vía SMS.

Se debería de dejar de usar SMS y llamadas para cualquier comunicación segura.



Edit: Acabo de revisar los ajustes de seguridad de facebook y por lo visto ahora si que permiten desactivar el 2FA por SMS y solo utilizar el de APP.

https://www.facebook.com/security/2fac/settings


Saludos

animanegra

Hombre, a ver el 2FA no pretende ser a prueba de balas, pretende que necesites calzarte dos dispositivos diferentes. Me refiero, te compro el tema de que sms pueda ser inseguro, pero parece más sencillo igual, el troyanizar el móvil del cliente que el tener acceso o bien a la compañia, o bien a un duplicado de tarjeta o bien a una antena de cara a poder obtener el sms.
Partiendo de ahí, me da la sensación de que una app de 2FA no te va a ofrecer una seguridad notáblemente mejor que la que te va a ofrecer un SMS (Me refiero a que si, va ser mejor que un envío por otro canal que no está cifrado, pero creo que en la actualidad no supone una ventaja muy notable en aspecto de seguridad).
Además de haber obtenido por otros medios la password del usuario, la forma creo más comun de obtener el sms sería via troyanizar el móvil de la victima. Y ahi adolece de igual problema tanto un sms como una app de 2fa que no utilice sms (creo yo). Y refieriendome siempre al público general que utilizaría la app de 2f en su movil habitual y no en un dispositivo que no esté conectado a la red.

No se si tenéis otra opinion, ¿De verdad véis mas sencillo obtener el sms de una forma que no suponga troyanizar el movil? Igual estoy superdesfasado y ahora los sms se pueden obtener de forma super sencilla. ^^

42
No contesto mensajes por privado, si tienes alguna pregunta, consulta o petición plantéala en el foro para que se aproveche toda la comunidad.

Machacador

Cita de: #!drvy en 13 Noviembre 2020, 12:59 PM

Edit: Acabo de revisar los ajustes de seguridad de facebook y por lo visto ahora si que permiten desactivar el 2FA por SMS y solo utilizar el de APP.


Yo nunca en mi vida he relacionado ningún teléfono con mi cuenta de Feisbus... en Paypal si... también tengo el teléfono relacionado a mis cuentas de banco como lo tienen la mayoría de los venezolanos porque aquí se ha masificado algo llamado "Pagomovil"... este sistema del pagomovil (o Pagoclave como lo llama el BDV) permite transferir dinero inmediatamente con un simple SMS desde cualquier teléfono sea este inteligente o bruto y sin ninguna confirmación...


:rolleyes: :o :rolleyes:
"Solo tu perro puede admirarte mas de lo que tu te admiras a ti mismo"