Tested_es
Microsoft ve mal el uso de SMS para autenticación en dos pasos Microsoft ve mal el uso de SMS para autenticación en dos pasos
Confirmar la identidad en los servicios online con más de un factor es lo recomendable. Pero los métodos de autenticación en dos pasos no... Microsoft ve mal el uso de SMS para autenticación en dos pasos

Confirmar la identidad en los servicios online con más de un factor es lo recomendable. Pero los métodos de autenticación en dos pasos no son todos iguales. De ello avisa Microsoft, que ha puesto el ojo en los SMS utilizados por entidades bancarias, entre otros agentes de riesgo.

La autenticación multi factor (MFA) intenta asegurar quién está al otro lado de una aplicación. Pero con los cambios en las compañías telefónicas, estas han hecho vulnerable uno de los sistemas más populares. Tanto los mensajes SMS como la confirmación por voz parecen estar en entredicho. Según Alex Weinert, Partner Director of Identity Security en Microsoft, las señales pueden ser interceptadas por cualquiera que tenga acceso a los conmutadores de la red o esté dentro del rango de un dispositivo. Hay multitud de dispositivos y herramientas capaces de captar estas señales.

Otro problema detectado para la autenticación en dos pasos por SMS o voz son sus opciones escasas. Son mensajes cortos y no se pueden modificar con libertad. Con solo 70-160 caracteres en un mensaje o frases cortas, hay demasiadas posibilidades en cuanto a falsificaciones. También es complicado determinar cuántos destinatarios han leído un mensaje de este tipo. Los proveedores de servicios no pueden controlarlo y algunos informan de errores en el envío, pero con pocos datos que los acompañen. Cuando se detecta un problema, suele ser demasiado tarde.

Aparte de los factores de la automatización, también hay espacio para el error humano. La legibilidad de los mensajes por SMS o MFA varía según la región, así como sus características. Operarios que los reciben, además, pueden incurrir en problemas de seguridad, con lo que la cadena se puede romper donde menos se espera. Con todo esto, ¿habría que dejar de usar la autenticación en dos pasos habitual? La respuesta es sí, aunque siempre con la idea de sustituirla por otro método mejor. Por ejemplo, las aplicaciones de seguridad que generan códigos temporales. No hay métodos perfectos, pero siempre debemos buscar la mejor opción a nuestra disposición.

Tested