Por qué deberías evitar el uso de contraseñas de un solo uso enviadas por mensaje de texto
Uno de los métodos más convenientes para que los usuarios de dispositivos móviles inicien sesión en aplicaciones (y en el que muchas empresas confían para otorgar acceso) es la contraseña de un solo uso, u OTP, que a menudo se comparte a través de mensajes de texto. Pero existe un consenso cada vez mayor entre los profesionales de la ciberseguridad de que las OTP, al igual que las contraseñas tradicionales, deberían eliminarse gradualmente, aunque los expertos dicen que es dudoso que eso suceda pronto.
Se insta a los consumidores a ser conscientes de los diferentes tipos de contraseñas de un solo uso y los riesgos de seguridad relativos frente a los beneficios que ofrece cada una. La experiencia demuestra que siempre hay alguna manera de derrotar la autenticación, pero algunos métodos se consideran más fuertes que otros, según Ant Allan, vicepresidente analista de Gartner Research. «No existen métodos infalibles de autenticación», afirmó Allan.
Esto es lo que los consumidores necesitan saber sobre las OTP y la seguridad en línea:
Las OTP son vulnerables a las estafas en línea
Las OTP a través de mensajes de texto o SMS son más vulnerables a los ataques de estafadores a través de diversos medios, como ataques de phishing, intercambio de SIM e interceptación de mensajes, incluso si tienes tu teléfono contigo, dijo Tracy C. Kitten, directora de fraude y seguridad. en Javelin Strategy & Research.
Para agravar el problema está el hecho de que cuando tienes una cuenta de teléfono celular o un sitio web pirateado, es posible que no te des cuenta de inmediato. «Puedes pedirle a un banco, por ejemplo, que envíe un mensaje de texto y luego reenviarlo, sin darte cuenta de que otra persona lo está recibiendo. Puede que tardes 45 minutos en darte cuenta de que algo anda mal, y en ese momento ya sea demasiado tarde». Dijo el gatito.
Utilice una aplicación de autenticación de Google, Microsoft
Los profesionales de la seguridad dicen que una mejor opción, aunque no es una panacea, es descargar una aplicación de autenticación, como Google Authenticator o Microsoft Authenticator, en un dispositivo móvil. Las aplicaciones de autenticación aún pueden ser vulnerables a algunos tipos de ataques como «adversario en el medio», pero siguen siendo más seguras que los SMS, dijo Allan.
Con una aplicación de autenticación, los usuarios reciben un código único cada vez que inician sesión y el código caduca, generalmente después de 30 a 60 segundos. No se envía nada a un número de teléfono. El autenticador está en su dispositivo móvil, por lo que si su teléfono está protegido con contraseña y tiene habilitado el reconocimiento facial, se reduce en gran medida el riesgo de que alguien pueda acceder a esos códigos, dijo Kitten.
Por supuesto, todavía existen vulnerabilidades potenciales basadas en la necesidad de ingresar código, dice Cedric Thevenet, vicepresidente y jefe de ventas y soluciones cibernéticas de Capgemini Americas. Digamos, por ejemplo, que una persona recibe un correo electrónico que parece ser de una empresa o proveedor con el que habitualmente hace negocios, pero en realidad es un intento de phishing bien disfrazado. Gracias a la IA, este tipo de correos electrónicos de phishing son cada vez más difíciles de detectar, afirmó Thevenet.
Si el usuario desprevenido hace clic en el enlace, puede ser dirigido a un sitio web que parece legítimo pero no lo es. La persona ingresa su nombre de usuario y contraseña en el sitio web del hacker, pensando que es el sitio web del proveedor, y luego, cuando se le solicita el código de autenticación, lo ingresa también. Ahora, explicó Thevenet, el hacker tiene acceso a la cuenta de la persona.
Considere el envío de aplicaciones móviles para una mejor protección
Una opción de autenticación aún más segura funciona junto con aplicaciones móviles en el teléfono del usuario. Cuando los usuarios inician sesión en un sitio web de su banco u otro tipo de proveedor, reciben una notificación en la aplicación correspondiente de su teléfono pidiéndoles que verifiquen su identidad mediante esa notificación.
Este método de verificación es independiente del dispositivo desde el que inicia sesión y es mejor que los SMS u OTP de los autenticadores, pero existen ataques que también pueden funcionar contra este método, dijo Allan. Un pirata informático puede intentar repetidamente iniciar sesión en la cuenta de una persona utilizando una contraseña robada y el usuario recibirá varios mensajes en su teléfono para verificar. Si la persona no está prestando mucha atención, o simplemente quiere que no la molesten, puede hacer clic para verificar, dándole así al hacker acceso a la cuenta.
Opte por una clave de seguridad de hardware siempre que sea posible
Una opción aún mejor es utilizar una llave de seguridad de hardware como Yubico. Una clave se puede utilizar con múltiples aplicaciones y servicios. Desde una perspectiva de seguridad, es mejor que los SMS o una aplicación de autenticación, afirmó Allan. Pero hay una inversión. Una llave puede costar entre 20 y 60 dólares o más y la gente debe tener cuidado de no perderla.
Tampoco es práctico en todas las situaciones. Un minorista en línea no dará una clave a cada uno de sus clientes por razones de costo y practicidad, dijo Thevenet.
Elimine las contraseñas de la ecuación con claves de acceso para múltiples dispositivos
Si bien no es necesariamente un reemplazo de una OTP, el uso de claves de acceso multidispositivo, que reemplazan la necesidad de contraseñas, hace que sea más difícil para un atacante ingresar a sus cuentas. Las claves de acceso consisten en una «clave privada» almacenada en la computadora o teléfono del usuario y criptografía de clave pública, según la Alianza FIDO, una asociación industrial abierta centrada en reducir la dependencia mundial de las contraseñas.
Además de eliminar parte de la molestia de las contraseñas, las claves de acceso protegen a los usuarios de ataques de phishing porque solo funcionan en sus sitios web y aplicaciones registrados. Todavía existen algunas preocupaciones de seguridad, dijo Allan, pero al menos «elimina las contraseñas de la ecuación, por lo que hace que sea más difícil para un atacante comenzar en primer lugar».
Desde una perspectiva regulatoria, las claves de acceso pueden no calificar como autenticación multifactor, pero aún así pueden ser más seguras que usar una contraseña y un SMS, dijo Allan.
Espere que las OTP de SMS sigan en uso y sean un riesgo
Existe una amplia variedad de opciones para que los usuarios administren sus inicios de sesión en línea con mayor atención a la seguridad, incluidos los administradores de contraseñas, pero todas presentan riesgos y, hasta cierto punto, los consumidores están limitados por los métodos de autenticación que ofrecen los diferentes proveedores.
Dusty Anderson, director general de Protiviti, que dirige la práctica de identidad digital de la empresa, tiene un cliente que gasta decenas de miles de dólares al mes para enviar OTP a través de SMS. A pesar de las preocupaciones de seguridad, el cliente se mantiene firme porque teme causar problemas, especialmente con clientes que no son tan conocedores de la tecnología y pueden resistirse a usar otro tipo de autenticador, dijo.
Por esta y otras razones, Thevenet dijo que las OTP probablemente seguirán existiendo de alguna forma en el futuro previsible. Las opciones más comunes son de bajo costo y fáciles de usar y, a pesar de ciertos riesgos, estos métodos siguen siendo mejores que una simple contraseña, dijo Thevenet. «¿Es la mejor solución para enviar OTP a través de SMS? No. ¿Es mejor que solo una contraseña? Sí».