La autenticación de múltiples factores (MFA) o la autenticación de dos factores (2FA) son mecanismos de seguridad fundamentales. Proporcionan un nivel de seguridad mucho más alto que el simple hecho de utilizar buenas contraseñas. Pero, según Alex Weinert, director de seguridad de identidad de Microsoft, la autenticación multifactor a través de voz o SMS no es segura. “Es hora de empezar a alejarse de los mecanismos de autenticación multifactor de voz y SMS”, dice.
El ejecutivo explica que estos mecanismos se basan en redes telefónicas públicas conmutadas (RPTC) y existen herramientas que pueden explotar las credenciales de cuentas en redes de este tipo. “Su cuenta de RPTC tiene todas las vulnerabilidades que tienen todos los demás autenticadores, además de otros problemas específicos. Creo que son los métodos de MFA menos seguros disponibles en la actualidad.”, Dice el ejecutivo en el blog de Microsoft.
Aunque la autenticación telefónica no es tan segura, definitivamente es más segura que no tener ninguna. Los MFA hacen que el proceso de piratear una cuenta sea muy complicado, incluso si el delincuente tiene acceso a la contraseña.
Un ciberdelincuente puede descubrir su contraseña de varias formas: adivinando, robando usando malware, ataques de phishing o incluso aprovechando el hecho de que la mayoría de las personas usan la misma contraseña para todos los servicios en línea. Pero difícilmente tendrá acceso a su código de autenticador..
“La autenticación multifactor (MFA) es lo mínimo que puede hacer si se toma en serio la protección de sus cuentas. El uso de cualquier otra contraseña aumenta significativamente los costos para los atacantes, por lo que la tasa de compromiso de la cuenta con cualquier tipo de MFA es menos del 0.1% de la población general ”, dice Weinert.
Sin embargo, MFA por voz y SMS no garantiza que esté a salvo de Cambio de SIM (Intercambio de SIM), que es cuando un ciberdelincuente se pone en contacto con la compañía telefónica haciéndose pasar por la víctima y solicita un nuevo chip (como fue el caso del exministro de Justicia Sérgio Moro). Al instalar el chip en el equipo el delincuente tiene acceso a las llamadas y mensajes de texto enviados a la víctima, también puede acceder a las aplicaciones de mensajería de WhatsApp sin necesidad de contraseña, así como tener acceso a otras cuentas, si tiene la contraseña.
También es importante tener en cuenta que al utilizar mensajes de texto y de voz para autenticar su acceso, la compañía telefónica que utiliza puede tener acceso a esta información, si lo desea.
Para evitar que le roben su cuenta, incluso si su chip está clonado, el ejecutivo de Microsoft recomienda usar aplicaciones de autenticación, que cifran los mensajes enviados. Por lo tanto, esperamos que solo los propietarios de la cuenta lean el código de autenticación.
Fuente: Blog de Microsoft.
See the original post at: https://thehack.com.br/e-hora-de-parar-de-usar-sms-em-autenticacao-multifator-diz-diretor-de-seguranca-da-microsoft/?rand=48889
