{"id":90018,"date":"2022-08-12T07:43:48","date_gmt":"2022-08-12T07:43:48","guid":{"rendered":"https:\/\/magazineoffice.com\/autenticacion-multifactor-basada-en-sms-que-podria-salir-mal-mucho\/"},"modified":"2022-08-12T07:43:49","modified_gmt":"2022-08-12T07:43:49","slug":"autenticacion-multifactor-basada-en-sms-que-podria-salir-mal-mucho","status":"publish","type":"post","link":"https:\/\/magazineoffice.com\/autenticacion-multifactor-basada-en-sms-que-podria-salir-mal-mucho\/","title":{"rendered":"Autenticaci\u00f3n multifactor basada en SMS: \u00bfQu\u00e9 podr\u00eda salir mal? Mucho"},"content":{"rendered":"


\n<\/p>\n

\n

La autenticaci\u00f3n multifactor est\u00e1 de moda en estos d\u00edas. Todos los sitios web le piden que lo encienda, y por una buena raz\u00f3n. Cuando una violaci\u00f3n de datos expone el hecho de que su contrase\u00f1a es \u00abcontrase\u00f1a\u00bb, los malhechores a\u00fan no ingresar\u00e1n a su cuenta porque no tienen el otro factor de autenticaci\u00f3n. Por lo general, es un c\u00f3digo enviado por mensaje de texto a su tel\u00e9fono o enviado a trav\u00e9s de una aplicaci\u00f3n de autenticaci\u00f3n.<\/p>\n

Esos dos m\u00e9todos parecen similares, pero el primero resulta ser un gran riesgo para la seguridad. En una atractiva presentaci\u00f3n en equipo en Black Hat, Thomas Olofsson y Mikael Bystr\u00f6m, CTO y director de OSINT en FYEO, respectivamente, demostraron una t\u00e9cnica que llaman smishmash para demostrar que usar mensajes de texto como segundo factor es muy arriesgado.<\/p>\n\n

\u00bfQu\u00e9 es FYEO? \u00bfQu\u00e9 es OSINT? \u00bfQu\u00e9 es Smishing?<\/h2>\n

Seg\u00fan su sitio web, FYEO es \u00abCiberseguridad para Web 3.0\u00bb, lo que significa que promueve una Internet descentralizada, junto con finanzas y seguridad descentralizadas. Algunos tambi\u00e9n usan FYEO para referirse a For Your Eyes Only: \u00a1tonos de James Bond!<\/p>\n

En cuanto a OSINT, es la abreviatura de inteligencia de c\u00f3digo abierto, y el t\u00e9rmino estaba muy presente en Black Hat. Significa recopilar y analizar informaci\u00f3n abiertamente disponible para desarrollar inteligencia \u00fatil. Es sorprendente lo que un investigador dedicado puede obtener bas\u00e1ndose en informaci\u00f3n que no est\u00e1 oculta de ninguna manera.<\/p>\n

Ha o\u00eddo hablar del phishing, esa t\u00e9cnica en la que los estafadores astutos lo enga\u00f1an para que inicie sesi\u00f3n en una r\u00e9plica del sitio de un banco u otro sitio seguro, y as\u00ed roban sus credenciales de inicio de sesi\u00f3n. Los enlaces de phishing generalmente llegan a trav\u00e9s de correos electr\u00f3nicos, pero a veces los mensajes SMS son el portador. En ese caso, usamos el encantador t\u00e9rmino smishing.<\/p>\n\n

\u00bfPor qu\u00e9 los textos son inseguros?<\/h2>\n

\u201cLo llamamos smishmash porque es una combinaci\u00f3n de t\u00e9cnicas\u201d, explica Olofsson. \u201cSMS para autenticaci\u00f3n de dos factores [2FA] est\u00e1 roto. Esto no es noticia; se ha roto desde el inicio. Nunca fue pensado para este uso. Hemos estado falsificando mensajes de texto desde que comenzamos a piratear. Es solo que ahora estamos viendo la militarizaci\u00f3n\u201d.<\/p>\n

Los mensajes de texto tienen una mayor confianza impl\u00edcita que las estafas por correo electr\u00f3nico y, por lo tanto, una tasa de \u00e9xito m\u00e1s alta, se\u00f1ala. Olofsson revis\u00f3 varias infracciones de inter\u00e9s period\u00edstico relacionadas con smishing y 2FA, incluido un robo importante de NFT de OpenSea. \u201cVemos un gran aumento en la cantidad de ataques de smishing\u201d, dice. \u201c\u00bfCu\u00e1ntos de ustedes han recibido un mensaje de texto no solicitado en la \u00faltima semana? Sus n\u00fameros de tel\u00e9fono se filtran cada vez m\u00e1s\u201d.<\/p>\n

\u00abLo que hemos hecho [is combine] una b\u00fasqueda en la red clara y la red oscura para crear una enorme base de datos\u00bb, dice Bystr\u00f6m. <\/p>\n

\u00abAl hacer esta investigaci\u00f3n, recibimos mucho spam\u00bb, agrega Olofsson. \u00abIncluso ‘\u00bfquieres comprar la lista de asistentes de Black Hat?’ Bajamos el precio por debajo de los 100 d\u00f3lares\u00bb.<\/p>\n

\u201cLas credenciales filtradas sol\u00edan ser el nombre de usuario y la contrase\u00f1a\u201d, dice Olofsson. \u201cAhora, si tiene un nombre de usuario, una contrase\u00f1a descifrada y un n\u00famero de tel\u00e9fono, tiene muchas posibilidades de superar la 2FA. Tenemos una base de datos de 500 millones de n\u00fameros de tel\u00e9fono, por lo que podemos vincular una de cada cinco direcciones de correo electr\u00f3nico con un n\u00famero de tel\u00e9fono\u201d.<\/p>\n\n

\u00bfC\u00f3mo funciona una infracci\u00f3n de 2FA?<\/h2>\n

\u201cLa forma m\u00e1s com\u00fan de enga\u00f1ar a 2FA es iniciar un restablecimiento de contrase\u00f1a y luego enga\u00f1ar al dispositivo\u201d, explica Olofsson. \u201cObservamos seis ataques del mundo real y tres implican la recuperaci\u00f3n de cuentas. En general, el proceso de recuperaci\u00f3n de la cuenta es muy laxo\u201d.<\/p>\n

\n
\n

Recomendado por Nuestros Editores<\/h3>\n<\/div>\n<\/div>\n

El SMS se desarroll\u00f3 en la d\u00e9cada de los 80 y el primer mensaje de texto se envi\u00f3 en 1992. \u201cNunca tuvo la intenci\u00f3n de ser seguro. No hay suma de verificaci\u00f3n, ni verificaci\u00f3n del remitente, ni nada. Y hay varias formas de enviar mensajes de texto \u00ab, dice.\u00bb Manualmente por su tel\u00e9fono, duh. Env\u00edalo a trav\u00e9s de un m\u00f3dem con un tel\u00e9fono antiguo. O use un servicio de API\u00bb.<\/p>\n

Esa suplantaci\u00f3n de identidad es lo que el d\u00fao demostr\u00f3 en Black Hat. Posteriormente, Olofsson se\u00f1al\u00f3 que solo puede comprar la tecnolog\u00eda para realizar estos ataques. \u201cPor $ 160, puede comprar hardware personalizado de Alibaba para hacer esto\u201d, dice, mostrando una p\u00e1gina del sitio. \u201cIncluso los que pueden procesar 64 ataques a la vez. Pueden falsificar el IMEI, falsificar el remitente de SMS. Este es un secreto bien conocido: en realidad los est\u00e1n comercializando\u201d.<\/p>\n

El equipo analiz\u00f3 algunos m\u00e9todos y servicios t\u00e9cnicos que las organizaciones podr\u00edan usar para protegerse contra este ataque, aunque est\u00e1 claro que la mejor soluci\u00f3n es simplemente evitar depender de SMS. Tambi\u00e9n ofrecieron la base de datos completa, con contrase\u00f1as codificadas e ilegibles, a los asistentes de Black Hat, para que cualquiera pudiera verificar si su n\u00famero de tel\u00e9fono est\u00e1 expuesto. Los investigadores de seguridad totalmente acreditados pueden negociar el acceso a la versi\u00f3n completa sin hash.<\/p>\n

La lecci\u00f3n es clara. Para cualquier sitio que le d\u00e9 una opci\u00f3n, no opte por la autenticaci\u00f3n basada en SMS. Si se trata de una cuenta importante que no ofrece ninguna otra opci\u00f3n, por ejemplo, su banco, comun\u00edquese con la organizaci\u00f3n y p\u00eddales que lo hagan mejor.<\/p>\n

Nota de los editores: despu\u00e9s de la publicaci\u00f3n de este art\u00edculo, Oloffson y Bystr\u00f6m se comunicaron con nosotros con un enlace para que el p\u00fablico verificara sus propios n\u00fameros de tel\u00e9fono. Simplemente haga clic en este enlace(Se abre en una nueva ventana)<\/span> e ingrese su n\u00famero de tel\u00e9fono sin puntuaci\u00f3n, incluido el c\u00f3digo de pa\u00eds al comienzo (+1 para n\u00fameros de EE. UU.).<\/em><\/p>\n

\n
\n

\u00bfTe gusta lo que est\u00e1s leyendo?<\/h4>\n

Matricularse en Vigilancia de la seguridad<\/strong> bolet\u00edn de noticias para nuestras principales historias de privacidad y seguridad directamente en su bandeja de entrada.<\/p>\n

Este bolet\u00edn puede contener publicidad, ofertas o enlaces de afiliados. Suscribirse a un bolet\u00edn informativo indica su consentimiento a nuestros T\u00e9rminos de uso y Pol\u00edtica de privacidad. Puede darse de baja de los boletines en cualquier momento.<\/p>\n<\/p><\/div>\n<\/div>\n<\/div>\n