Una filtración supone un nuevo golpe para los códigos de seguridad por SMS

Hace unas semanas se descubrió una base de datos con millones de códigos 2FA enviados por SMS para verificar el acceso de usuarios a plataformas como WhatsApp, Facebook o Gmail, entre muchas otras. La base de datos estaba sin cifrar, era accesible por parte de cualquier persona que tuviera su dirección IP, y podría ser solo una de muchas en circulación por la red.

Se presume que estos códigos podrían haber sido obtenidos directamente desde las plataformas afectadas, porque, como denuncia la persona que descubrió la base de datos, son cada vez más las empresas que alojan este tipo de información en servidores externos que no cuentan con las debidas medidas de ciberseguridad y de cifrado.

El descubrimiento de la base de datos no supone una amenaza inminente para los usuarios afectados, sin embargo. Este tipo de códigos de verificación tienen una validez temporal muy limitada. Si pasan varios minutos sin que el usuario introduzca la clave en la plataforma a la que está tratando de acceder, la clave deja de ser válida. Sin embargo, sí que despierta numerosos interrogantes sobre un método de verificación que ya estaba muy cuestionado.

Los SMS nunca han sido seguros para la 2FA

La autenticación en dos factores, más conocida como ‘2FA’, es un método de verificación que propone agregar un nivel de seguridad extra a las contraseñas. Cualquier método 2FA mejora el nivel de robustez de una cuenta online, porque al hacker ya no le bastará con crackear la contraseña de su víctima, sino que tendrá además que hacerse con el segundo código de seguridad que se habrá generado de forma temporal durante el intento de acceso.

La 2FA es, entonces, una excelente medida de ciberseguridad, pero los SMS no son la mejor manera de aplicarla. Para comenzar, no están disponibles en cualquier país. Si viajamos a los Estados Unidos o a Francia, por ejemplo, es probable que no podamos recibir nuestros SMS de verificación, lo que puede impedirnos acceder a nuestra app de banca online o verificar pagos, quizá en circunstancias donde podríamos necesitarlo más que nunca.

Pero la accesibilidad no es el único problema. Hay muchísimas apps que tienen acceso a los SMS de nuestro celular, comenzando por Instagram, Facebook o la propia WhatsApp. Es muy posible entonces que un hacker desarrolle una app maliciosa para leer esos SMS, o, peor aún, que modifique una app ya existente para este fin. Y esto es justo lo que ocurre con miles de apps pirata que hay en circulación por internet, por ejemplo en las webs de juegos ‘APK’.

Las apps de autenticación son una alternativa más segura

Es triste que haya tantas compañías –y, sobre todo, tantos bancos– que sigan empleando los SMS como método 2FA, cuando hace años que contamos con alternativas mucho más seguras: las apps de autenticación. Este tipo de aplicaciones permiten recibir un código de uso temporal a través de internet y de manera cifrada, de modo que ninguna otra app de nuestro celular puede tener acceso a esa clave.

Además, podemos reforzar la seguridad de estas apps activando la navegación VPN en el dispositivo. De este modo podemos establecer una segunda capa de cifrado e incluso ocultar IP al recibir nuestra clave de verificación. Dos de las aplicaciones 2FA más populares son Google

Authenticator y Microsoft Authenticator. Y, pese a que tampoco es una buena noticia que dependamos tanto de las ‘Big Tech’, definitivamente son una opción preferible a los SMS.

La verificación biométrica también ofrece mayor seguridad

Otras aplicaciones están optando por la autenticación biométrica para permitir el acceso a sus usuarios, prescindiendo de los códigos de uso temporal. La verificación biométrica puede emplearse como sistema 2FA o como reemplazo de las contraseñas, y tiene la ventaja de que resulta muy difícil de hackear. Sin embargo, ningún sistema de autenticación es perfecto, y la verificación biométrica también tiene sus aspectos negativos.

El más obvio son las vulnerabilidades de sistemas como el reconocimiento facial. Ya se han dado numerosos casos en los que se produce el robo de un iPhone y, antes de marcharse del lugar del crimen, el ladrón apunta el iPhone al rostro de su víctima para desbloquearlo. Además, el Face ID también tenía otro problema que Apple tardó demasiado en corregir: permitía el reconocimiento facial con los ojos cerrados, es decir, mientras la víctima dormía.

Menos obvio, pero quizá más preocupante, es el problema de la información biométrica con que las Big Tech gestionan la autenticación biométrica de sus usuarios. Así como se filtraron millones de SMS de verificación, también pueden filtrarse bases de datos con las huellas dactilares o la lectura del iris de millones de personas. Y las consecuencias podrían ser devastadoras. Al fin y al cabo, ¿Quién puede cambiarse una huella dactilar "comprometida"?