verificación en dos pasos

El nivel de seguridad que proporcionan los SMS palidece en comparación con los autentificadores o las claves de seguridad físicas, afirma Jesse Leclere, de CertiK, en una entrevista.

El uso de SMS como una forma de autenticación de dos factores siempre ha sido popular entre los entusiastas de las criptomonedas. Después de todo, muchos usuarios ya comercian con sus criptomonedas o gestionan páginas sociales en sus teléfonos, así que ¿por qué no utilizar simplemente los SMS para verificar cuando se accede a contenido financiero sensible?

Desgraciadamente, los estafadores se han dado cuenta últimamente de que pueden explotar la riqueza enterrada bajo esta capa de seguridad a través del intercambio de SIM, o el proceso de redirigir la tarjeta SIM de una persona a un teléfono que está en posesión de un atacante. En muchas jurisdicciones de todo el mundo, los empleados de telecomunicaciones no piden identificación gubernamental, ni facial, ni números de la seguridad social para gestionar una simple solicitud de portabilidad.

Combinado con una rápida búsqueda de información personal disponible públicamente (bastante común para los interesados en la Web 3.0) y preguntas de recuperación fáciles de adivinar, los suplantadores pueden portar rápidamente el 2FA por SMS de una cuenta a su teléfono y empezar a utilizarlo con fines nefastos. A principios de este año, muchos youtubers de criptomonedas fueron víctimas de un ataque de intercambio de SIM en el que los atacantes publicaron vídeos de estafa en su canal con un texto que dirigía a los espectadores a enviar dinero a la billetera del atacante. En junio, el proyecto de NFT de Solana, Duppies, sufrió una violación de su cuenta oficial de Twitter a través de un intercambio de SIM en el que los atacantes tuiteaban enlaces a una falsa casa de la moneda.

Con respecto a este asunto, Cointelegraph habló con el experto en seguridad de CertiK, Jesse Leclere. Conocido como líder en el espacio de seguridad de blockchain, CertiK ha ayudado a más de 3.600 proyectos a asegurar activos digitales por valor de USD 360.000 millones y ha detectado más de 66.000 vulnerabilidades desde 2018. Esto es lo que dijo Leclere:

«La 2FA por SMS es mejor que nada, pero es la forma más vulnerable de 2FA que se utiliza actualmente. Su atractivo radica en su facilidad de uso: la mayoría de la gente está en su teléfono o lo tiene a mano cuando se conecta a las plataformas online. Pero no hay que subestimar su vulnerabilidad a los intercambios de tarjetas SIM».
Leclerc explicó que las aplicaciones dedicadas a la autenticación, como Google Authenticator, Authy o Duo, ofrecen casi toda la comodidad de las 2FA por SMS al tiempo que eliminan el riesgo del intercambio de SIM. A la pregunta de si las tarjetas virtuales o eSIM pueden eliminar el riesgo de ataques de phishing relacionados con el intercambio de SIM, Leclerc respondió claramente que no:

«Hay que tener en cuenta que los ataques de intercambio de SIM se basan en el fraude de identidad y la ingeniería social. Si un agente malicioso puede engañar a un empleado de una empresa de telecomunicaciones para que piense que es el propietario legítimo de un número vinculado a una SIM física, también puede hacerlo con una eSIM».
Aunque es posible disuadir este tipo de ataques bloqueando la tarjeta SIM en el teléfono (las compañías de telecomunicaciones también pueden desbloquear los teléfonos), Leclere señala que el estándar de oro es el uso de llaves de seguridad físicas. «Estas llaves se conectan al puerto USB del ordenador, y algunas están habilitadas para la comunicación de campo cercano (NFC) para facilitar su uso con dispositivos móviles», explica Leclere. «Un atacante necesitaría no solo conocer tu contraseña, sino apoderarse físicamente de esta llave para poder entrar en tu cuenta».

Leclere señala que después de ordenar el uso de las claves de seguridad para los empleados en 2017, Google ha experimentado cero ataques de phishing con éxito. «Sin embargo, son tan eficaces que si pierdes la única llave que está vinculada a tu cuenta, lo más probable es que no puedas volver a acceder a ella. Es importante mantener varias llaves en lugares seguros», añadió.

Por último, Leclere afirma que, además de utilizar una aplicación de autenticación o una clave de seguridad, un buen gestor de contraseñas facilita la creación de contraseñas fuertes sin reutilizarlas en varios sitios. «Una contraseña fuerte y única combinada con un 2FA no SMS es la mejor forma de seguridad para las cuentas», afirmó.

Fuente y redacción: thehackernews.com

Compartir