Read the rest of the post ' El riesgo de pedir demasiados datos personales en los Hoteles '
Los que nos dedicamos al campo de la ciberseguridad llevamos un tiempo intentando encontrar la mejor forma de explicar al público por qué, para una herramienta tan clave a día de hoy como es el doble factor de autenticación, recibir códigos por SMS no es tan recomendable como hacerlo a través de alguna aplicación de autenticación, como puede ser Microsoft Authenticator o Google Authenticator.
Admito que me preocupa esta materia, especialmente ahora que Google va a dar un paso en la dirección adecuada activando, de manera obligatoria, este doble factor en las cuentas de los usuarios y va a permitir las dos opciones. Pero, ¿cuál es la mejor de las alternativas? Para comprenderlo mejor, vamos a ayudarnos de un ejemplo real, el caso de Syniverse, ocurrido el pasado mes de octubre.
Syniverse es una compañía clave en el sector internacional de las telecomunicaciones, que presta servicios a empresas como AT&T, T-Mobile, Verizon, Vodafone o China Mobile. Su importancia radica en que gestiona el direccionamiento de cientos de billones de mensajes SMS para estas organizaciones y sus usuarios. Sin embargo, a pesar de trabajar con empresas del más alto nivel, el pasado mes de octubre notificaron a la SEC (Security and Exchanges Commision) estadounidense un ciberataque en sus sistemas. Hasta aquí todo parece dentro de lo habitual: una empresa de tantas que ha sido atacada y que, intentando hacer las cosas bien, lo reconoce ante un regulador. Pero la historia se complica, ya que esta información sólo se ha hecho pública como parte de una obligación de cara a una posible cotización bursátil de la compañía.
Al investigar sobre el ciberataque, Syniverse ha descubierto, y así lo reconoce en su escrito a la SEC, que los cibercriminales podrían llevar operando en sus sistemas alrededor de cinco años, que es el último punto hasta el que han sido capaces de rastrear las actividades sospechosas. ¡Cinco años! Tiempo que los ciberdelincuentes podrían haber estado escondidos en sus sistemas, pasando inadvertidos para todos los administradores y operadores de la infraestructura y sin que haya quedado claro el nivel de acceso que han podido tener a los mensajes SMS de los usuarios gestionados por la entidad.
Desde luego, ante una compañía cuya seguridad tarda 5 años en darse cuenta de un ciberataque creo que es plausible plantearse el peor de los escenarios y asumir que han podido acceder, a todo, sin restricciones. Y, en ese todo, se incluyen, sin duda, los mensajes de doble factor que tanto nos ayudan a la seguridad de nuestras cuentas y sistemas. En este sentido, al hecho de que grandes expertos lleven tiempo alertando de que el protocolo por el cual se mandan los SMS no es tan seguro como sí lo son otros sistemas, se suma que en el envío de SMS participan estos actores o empresas que, en caso de verse comprometidos, ponen en jaque toda la ciberseguridad de la cadena.
Entonces, ¿la alternativa de las aplicaciones de autenticación es más segura y está exenta de estos problemas? Claramente no pero, en mi humilde opinión, sí hay diferencias importantes. El sistema de las aplicaciones de autenticación está construido sobre protocolos más robustos de cifrado, por lo que obtener la información que se manda no es tan sencillo como sucede con los SMS. Incluso, en las implementaciones más habituales no hay comunicación alguna, dado que la clave se genera dentro de la propia aplicación del usuario, en base a la hora de generación y a una “semilla” que se generó en el momento de la configuración inicial. Esto deja como punto más vulnerable atacar al propio proveedor, como son Microsoft, Google o Apple, entre otras tecnológicas que ya han desplegado estos sistemas.
Y, si bien atacar a estos proveedores nos pone en el mismo escenario que en el caso de Syniverse, con las aplicaciones de autenticación podemos elegir en qué empresa se confía más: si en los grandes gigantes tecnológicos que, con sus luces y sombras, han demostrado estar trabajando por la seguridad del usuario en la medida de lo posible, o en unas compañías cuya seguridad parece cuestionable. Y que, además, demuestran carecer de un deseo real de transparencia, como es el caso de Syniverse.
Por lo tanto, siempre que sea posible, para garantizar al máximo tu seguridad es totalmente aconsejable habilitar el doble factor en las cuentas mediante aplicaciones de autenticación. Pues, aunque tener un doble factor por SMS es mejor que no tener doble factor alguno, cuando existen opciones más seguras, e incluso más fáciles de gestionar para el usuario, es deber de los que nos dedicamos a este campo ayudar a comprender y a optar por la mejor de las soluciones. Es importante saber y tener en cuenta que, la próxima vez que tengas que elegir entre recibir un SMS o tener una aplicación de autenticación, elegir la segunda es apostar por tu seguridad.
Un saludo a todos los lectores y, como siempre, ¡nos vemos el próximo mes!