Te explicamos por qué la verificación en dos pasos no es muy buena idea.

La verificación en dos pasos es un función muy interesante para demostrar que somos nosotros y no otro quién está accediendo a nuestra cuenta de Google, de Facebook, o de lo que sea. Hay varios tipos: mediante un pequeño tokens físicos que generan una clave temporal, mediante una aplicación para móvil o mediante SMS. Este último sistema es el más usado por todos, y, aunque sea mejor que nada, no es el más seguro.

Para entrar en una cuenta sin autentificación en dos pasos necesitaremos un usuario y una contraseña. Para entrar en una cuenta con autentificación en dos pasos, necesitaremos aparte una clave temporal que dura generalmente unos solos minutos. Esto quiere decir que si no tenemos el dispositivo en mano, lo más probable es que esta clave caduque y que tengamos que pedirla de nuevo.

Como vemos, es obvio que la autentificación en dos pasos mediante SMS, como vemos arriba, es más interesante que el método sin autentificación en dos pasos, pues aunque es inseguro, añade una incógnita más a la ecuación, y sin ella, nunca podríamos acceder a la cuenta.

Por qué son inseguros los SMS

Dejando de lado que podamos tener una aplicación que intercepte el contenido de los mensajes (sobre todo en Android, pues hay un número mayor de aplicaciones malignas), hay muchos métodos para interceptar SMS’s.

El protocolo SS7 (Signalling System No. 7), usado por las redes GSM, es tan inseguro que con los conocimientos necesarios y con el número de teléfono de alguien, se es capaz de geolocalizar a la persona y también de interceptar sus mensajes y sus llamadas. Así lo llevó a cabo en un experimento Karsten Nohl, Doctor en Ingeniería informática de la Universidad de Virginia.

simcardremove2

Otro de los métodos usados más comunes es la ingeniería social, mediante la cual podemos hacer en algunos países (muy común, por cierto, en Reino Unido) que los mensajes se redirijan a otro número. Con tan solo dar unos cuantos datos (públicos) es suficiente para realizar casi cualquier gestión telemática. A este método se le conoce como ‘Sim swap‘.

En la banca española, por ejemplo, tan solo es necesario el DNI de una persona (se puede conseguir de forma fácil, en el BOE, por ejemplo), el domicilio (algo más complicado, pero mediante un WHOIS público, si tiene una página web, es muy probable que se encuentre público también) y la oficina en la que ha abierto su cuenta (algo que, aunque no es público, se podría extraer mediante ingeniería social), seríamos capaces de acceder a un código SMS que, junto con el ‘Sim swap‘, serviría para sacar dinero de la cuenta bancaria de la persona durante 24 horas.

Google Authenticator, la alternativa

google authenticator-autentificacion en dos pasos

Como vemos en How To Geek, Google Authenticator es una gran alternativa. Se elimina el factor SMS y por lo tanto se elimina la posibilidad de que sea interceptado. Ahora los códigos llegan mediante esta aplicación, y tan solo duran unos segundos. Cada vez son más los portales web y las aplicaciones que dejan de usar los SMS y que comienza a usar este tipo de tokens virtuales, que son más seguros.

En los que nos obliguen a usar la autentificación en dos pasos mediante SMS, no obstante, tendremos que seguir usándola, pues no nos queda otro remedio. Como ya sabemos, al menos es más seguro que nada (como dice el dicho popular, menos da una piedra). Lo único que podemos hacer es esperar a que estas aplicaciones cedan y acaben por dejar de usar los SMS.