Debería utilizar la autenticación de dos factores en cada cuenta en línea que tenga. No importa cuán rico o famoso seas (aunque los ricos y famosos probablemente deberían hacer aún más para proteger sus identidades) porque todos tienen algo de valor oculto en sus cuentas en línea. Compañías como Google y Facebook ofrecen todo gratis porque nuestros datos en línea son muy valiosos.
El uso de la autenticación de dos factores (2FA) no está diseñado para ser fácil porque probar que realmente eres quien dices ser debería tener una barrera adjunta. Desafortunadamente, muchas personas piensan que esta barrera es demasiado alta o demasiado inconveniente y se saltan la 2FA por completo. No voy a subirme a una tarima y explicar lo malo que está porque eso se ha hecho hasta la muerte. Sabes por qué deberías usarlo y has tomado una decisión.
Pero para aquellos que eligen proteger sus cuentas en línea con 2FA, hay otro problema: muchas compañías solo ofrecen el uso de SMS para autenticarse. Eso significa que cuando intenta iniciar sesión por primera vez desde un nuevo teléfono o computadora, recibe un mensaje de texto en el número que la compañía tiene registrado para usted. Suena simple, pero es tan malo o peor que no usar 2FA debido a la falsa sensación de seguridad que da.
Fuente: Android Central (Crédito de la imagen: Fuente: Android Central)
No es realmente fácil "robar" su número de teléfono engañando a un proveedor para que le dé una nueva tarjeta SIM porque implica convencer a alguien de hacer algo que se supone que no debe hacer. Pero todos sabemos que eso sucede. Tampoco es fácil interceptar un SMS, aunque los métodos para hacerlo existen desde hace mucho tiempo. Pero es sencillo y económico pagarle a una empresa para redirigir los mensajes SMS de un número a otro.
Las empresas necesitan reenviar mensajes SMS, pero debe haber cierta supervisión.
Existe una necesidad legítima de redirigir los mensajes SMS, como tener un servicio de asistencia técnica que ofrezca asistencia a través de mensajes de texto utilizando un número de teléfono fijo o virtual de la empresa. El problema es que no existe una regulación que asegure que las empresas que ofrecen dichos servicios realmente demuestren que eres el propietario del número que se está redirigiendo. Simplemente complete un formulario en línea, envíe unos pocos dólares y mienta en una solicitud.
Este es un gran problema que debe abordarse, y pronto. Muchos de nosotros llevaremos el mismo número de teléfono con nosotros durante toda nuestra vida; su número de teléfono realmente es parte de su identidad. No sé cómo solucionar este problema sin introducir nuevas leyes hechas por personas que no tienen idea de cómo funciona la tecnología o dejar que esta industria en particular se controle a sí misma. Ambas opciones aquí son malas, así que dejaré que los expertos lo averigüen.
No es difícil ver la enorme amenaza a la seguridad que representa este tipo de ataque. La FCC debe usar su autoridad para obligar a las compañías telefónicas a proteger sus redes de los piratas informáticos. El enfoque de autorregulación de la industria del ex presidente Pai fracasó claramente. Senador Ron Wyden
Sin embargo, lo que puedo hacer es decir que todos debemos dejar de usar servicios que solo ofrecen SMS como método para 2FA. Punto, punto final.
Fuente: Jerry Hildenbrand / Android Central (Crédito de la imagen: Fuente: Jerry Hildenbrand / Android Central)
Los expertos que supervisan la seguridad en su banco o en un minorista o cualquier otro servicio que ofrezca una forma de hacer negocios en línea saben lo malo que es usar SMS para 2FA. Eso no parece marcar la diferencia en muchos casos, ya que encontrará muchas empresas de buena reputación que lo ofrecen como la única opción. Supongo que se debe en parte a que usar SMS para 2FA es fácil y costaría dinero cambiar el sistema para usar un método que sea realmente seguro.
Una aplicación de autenticación es tan fácil de usar como obtener códigos SMS.
Para muchos es igualmente difícil hacer ese cambio, incluso si encuentran el servicio adecuado que ofrece estándares básicos de seguridad. Usar SMS es fácil y funciona desde cualquier dispositivo que pueda recibir mensajes de texto. Todos sabemos cómo funciona; obtenga el código en un mensaje de texto, ingrese el código en el cuadro pequeño y presione enviar. Funciona en un teléfono Android barato o incluso en un teléfono tonto.
Lo que muchos no saben es que usar algo como una aplicación de autenticación 2FA basada en software como Google Authenticator (se abre en una pestaña nueva), Authy o Microsoft Authenticator (se abre en una pestaña nueva) es igual de fácil. No espera un código, abre la aplicación y elige el servicio y se proporciona uno al instante.
Fuente: Android Central (Crédito de la imagen: Fuente: Android Central)
Otros métodos, como usar una llave de seguridad inalámbrica o USB, también son bastante fáciles una vez que encuentra el hardware adecuado que funciona con sus dispositivos, pero para la mayoría de las personas, usar una aplicación de autenticación de software es la opción correcta. Tampoco es 100% "a prueba de hackers", pero no es algo trivial de explotar.
Vale la pena cambiar de servicio para encontrar uno que se preocupe por la seguridad de su cuenta.
Sin embargo, cambiar la forma en que obtienes tus códigos 2FA es la parte fácil. ¿Qué pasa si su banco solo usa SMS (o peor aún, una llamada de voz) para 2FA? ¿Deberías cambiar de banco? Sí . Y dígales por qué está cambiando porque alguien en el departamento de TI sabe que está tomando la decisión correcta al hacer el cambio.
La buena noticia es que los servicios y proveedores de servicios más populares ahora ofrecen la opción de usar una aplicación de autenticación. Amazon, Twitter, Google, Apple, Microsoft e incluso Facebook le permitirán usar una aplicación de autenticación cuando configure 2FA o le permitirán realizar cambios en la forma en que obtiene sus códigos. Pero existe una posibilidad real de que un servicio que necesita usar todavía no esté a bordo y solo ofrezca SMS como una opción. Es hora de deshacerse de esos servicios y encontrar uno de una empresa que se preocupe al menos un poco por la seguridad de su cuenta.