El SMS es un sistema de verificación que usan multitud de aplicaciones, ya sea como principal -Whatsapp o Telegram- o como secundario, como muchos sistemas de correo o incluso algunos bancos para confirmar un pago on line. Durante los últimos años ha sido un complemento de seguridad que se aseguraba que nadie más que tú pudiera entrar en tu correo. Ahora, la doble verificación por SMS está en el punto de mira de la seguridad.

El Instituto de Estándares y Tecnología de EEUU está preparando el primer borrador de la Guía de Autenticación Digital, una norma a la que será recomendable que se ajuste todo el software a partir de ahora, y en él se considera que este sistema es inseguro. Para demostrarlo, en el documento se mencionan casos tales como que el teléfono podría no ser ya propiedad del usuario o el SMS podría ser «robado» mediante un servicio VoIP.

Todo esto se refiere únicamente a la doble verificación por SMS, y los otros muchos sistemas de doble verificación que existen ahora mismo seguirían siendo válidos, incluyendo tanto aquellos que cuenten con verificación biométrica como los que usen un sensor de huellas dactilares.

Gmail, por ejemplo, ya se aleja de la doble verificación por SMS

Actualmente, prácticamente todos los servicios on line ofrecen la doble verificación por SMS, incluyendo Gmail, Facebook o Twitter. Algunos como Google ya han comenzado a probar nuevos sistemas que les alejen del vetusto mensaje. Desde hace un mes, Google permite activar un sistema que al tratar de entrar en tu cuenta hace que tengas que verificarlo desde el teléfono, pero para hacerlo deberás confirmar el inicio a través de una notificación, y no mediante un mensaje SMS.

El sistema tampoco es del todo perfecto. Igual que el SMS, el teléfono puede no estar en tu poder, y si lo has perdido puede complicarte mucho la vida al dejarte potencialmente sin acceso a tu cuenta de Google temporalmente. Otros servicios, como Yahoo, han optado por eliminar directamente la contraseña.

Whatsapp: el SMS sigue siendo su talón de Aquiles

Pero en una situación peor quedan aquellos servicios que recurren al SMS como forma de verificación principal, y sí, estamos pensando en Whatsapp (y también Telegram). Para entrar por primera vez en estas aplicaciones debes introducir tu número de teléfono, y los servidores de las aplicaicones te envían un código que hay que después hay que confirmar (o se introduce automáticamente si das acceso a los SMS) para poder entrar en la cuenta.

Sin embargo, este sistema se ha demostrado inseguro. La reina de la mensajería instantánea ha hecho enormes esfuerzos por mejorar su seguridad con la introducción del cifrado de extremo a extremo, sin embargo, precisamente la verificación a través de SMS se ha demostrado como un punto débil a través del que se puede acceder a las conversaciones de una persona.

Con la inminente recomendación de abandonar el uso de la autenticación por SMS por parte de un organismo con bastante peso en Estados Unidos habrá que ver cómo reinventan las aplicaciones la forma de verificar nuestra identidad. Lo que es evidente es que la verificación por SMS ya no es una forma tan segura de acreditar nuestra identidad -y lo que es peor, hay bancos que la usan para confirmar pagos-. Veremos cómo responden las grandes compañías a este movimiento.

Vía: Cnet | Softpedia.com