Los riesgos ocultos de la autenticación multifactor basada en SMS

24 de enero de 2024

Los riesgos ocultos de la autenticación multifactor basada en SMS

Hace un año, me mudé de Suiza a mi país natal: Francia. Una mudanza de este tipo conlleva numerosas tareas administrativas, una de las cuales es obtener un nuevo número de teléfono local.

Rápidamente adquirí un nuevo número y comencé el proceso de actualización de mis cuentas para mejorar la seguridad mediante la autenticación multifactor (MFA). Sin embargo, surgió un problema inesperado con mi cuenta de Amazon. Al parecer, mi nuevo número de teléfono ya estaba vinculado a la cuenta de otro usuario, presumiblemente por el propietario anterior que no lo había eliminado.

Me puse en contacto con el equipo de soporte de Amazon para intentar asociar mi nuevo número a mi cuenta. El equipo de soporte respondió rápidamente, pero no pudieron ayudarme. Me explicaron que no podían alterar los datos de la cuenta de otra persona sin autorización explícita. No podía utilizar mi número de teléfono como capa adicional de seguridad.

Adquisición de cuentas: Un escenario real

El mecanismo de seguridad de las cuentas de Amazon tiene un aspecto único que podría ser un arma de doble filo en términos de accesibilidad a las cuentas. Si posees el número de teléfono de alguien, tienes un camino sorprendentemente sencillo para acceder a su cuenta de Amazon. Al optar por iniciar sesión con un número de teléfono móvil y luego seleccionar iniciar sesión a través de un código de verificación enviado a ese número, evitando la necesidad de introducir una contraseña, se puede entrar en una cuenta vinculada a ese número.

Interfaz de inicio de sesión de Amazon y OTP recibido por sms.

Tras esta forma de entrada, el individuo en posesión del teléfono tiene un nivel considerable de control sobre la cuenta. Se le ofrece la posibilidad de restablecer la contraseña de la cuenta, actualizar el número de teléfono utilizado para la AMF, modificar la dirección de correo electrónico registrada y, potencialmente, realizar compras utilizando los datos de la tarjeta de crédito guardados en la cuenta. Cabe destacar que este proceso carece de una capa de seguridad fundamental: la validación bancaria no es necesaria para las transacciones en Amazon, lo que deja un vacío que podría aprovecharse para realizar compras no autorizadas.

Cuenta de amazon violada debido a un MFA basado en SMS obsoleto

En mi caso, aunque me encontré sin querer conectado a la cuenta de Amazon de otra persona debido al número de teléfono compartido, me abstuve de hacer cambios o compras. Mi intención no era hacer un mal uso del acceso con el que había tropezado. En lugar de ello, tomé la medida responsable de disociar el número de teléfono de la cuenta a la que estaba vinculado anteriormente. Esta acción fue crucial para asegurar mi propia cuenta de Amazon con mi número de teléfono actual, reforzando así su seguridad y garantizando que yo era el único usuario asociado a mi cuenta personal.

Cómo eliminar sms mfa de una cuenta de Amazon

Este incidente pone de relieve la importancia de actualizar y proteger periódicamente la información de las cuentas para evitar accesos no autorizados. También aumenta la concienciación sobre los riesgos potenciales de los métodos de autenticación basados en el teléfono y subraya la necesidad de que los usuarios permanezcan atentos a sus prácticas de seguridad digital.

Vulnerabilidades MFA / OTP

Las MFA basadas en SMS, incluidas las contraseñas de un solo uso (OTP) y los enlaces mágicos, aunque populares, tienen limitaciones de seguridad críticas. Estas debilidades no se limitan a los escenarios tradicionales de AMF, sino que se extienden a varios métodos de autenticación basados en SMS.

No actualizar el número de teléfono para la seguridad de la cuenta puede tener otro resultado preocupante: la pérdida total del acceso a la propia cuenta.

Por ejemplo, si no actualizas tu cuenta de Google con tu nuevo número de teléfono, pueden surgir problemas de acceso importantes que podrían bloquear tu cuenta. Este descuido puede crear una situación frustrante y complicada, incluso si recuerdas tu contraseña.

Validación de seguridad de Google con código de verificación

Cuando cambias tu número de teléfono pero no actualizas esta información en la configuración de tu cuenta de Google, creas inadvertidamente una barrera de entrada. El problema surge durante el proceso de verificación, que es un paso fundamental para garantizar la seguridad y la integridad de tu cuenta. Google, en su afán por mantener altos estándares de seguridad, suele requerir un código de verificación como parte de su proceso de autenticación de dos factores. Este código suele enviarse a tu número de teléfono registrado.

Sin embargo, si tu cuenta sigue vinculada a tu antiguo número, no recibirás estos códigos de verificación esenciales. Como resultado, a pesar de introducir la contraseña correcta, no podrá completar el proceso de inicio de sesión. Esta falta de acceso al código de verificación le impide confirmar su identidad y acceder a su cuenta.

Mensaje de error de Google "no se puede iniciar sesión"

Además, las implicaciones de este problema van más allá de no poder consultar el correo electrónico o actualizar el calendario. Puede interrumpir el acceso a todos los servicios asociados a tu cuenta de Google, incluidas plataformas esenciales como Google Drive, Fotos e incluso sitios de terceros en los que utilizas Google para iniciar sesión.

Limitaciones adicionales de la AMF basada en SMS

Esta revelación sobre el proceso de inicio de sesión de Amazon no sólo levanta cejas, sino que también sirve como punto de partida para un debate más amplio sobre los riesgos inherentes de confiar en la autenticación multifactor basada en SMS en varias plataformas.

He aquí otras limitaciones de la AMF basada en SMS:

1. Cifrado de SMS y amenazas de Malware

Los mensajes SMS no están cifrados, lo que los convierte en objetivos fáciles de interceptar y leer sin autorización. La información sensible, como los códigos de autenticación, puede caer en las manos equivocadas y provocar la violación de cuentas. Sin embargo, la sofisticación técnica necesaria para interceptar mensajes SMS hace que este método de ataque sea menos probable y que la mayoría de los atacantes prefieran utilizar malware en un dispositivo para desviar datos SMS.

2. Dependencia de las redes móviles

La dependencia de las redes móviles, que pueden sufrir cortes, hace que la AMF basada en SMS no sea fiable en los momentos críticos en los que es necesario acceder a una cuenta.

3. Exploits SS7 y Sakari

Contrariamente a lo que se pensaba anteriormente, el protocolo Signal System 7 (SS7) ya no es tan vulnerable a la explotación. Sin embargo, la facilidad para reenviar SMS a servicios como Sakari, que puede conseguirse con ingeniería social básica y un coste mínimo, presenta un nuevo vector de amenaza.

4. 4. Ingeniería social

Los atacantes pueden utilizar técnicas de ingeniería social para engañar a particulares o proveedores de servicios móviles para que divulguen información confidencial o transfieran un número de teléfono a una nueva tarjeta SIM, eludiendo las medidas de MFA.

5. Compras masivas de números para la adquisición de cuentas

Una amenaza emergente consiste en la compra masiva de números de teléfono por parte de atacantes para intentar hacerse con cuentas a gran escala, aprovechando las vulnerabilidades de la AMF basada en SMS.

> Lea cómo el famoso grupo de ciberdelincuentes LAPSUS$ burla la seguridad de prevención para atacar entornos cloud

Buenas prácticas en AMF

Los autenticadores basados en aplicaciones, como Microsoft Authenticator o Google Authenticator, se recomiendan para reforzar la AMF. Sin embargo, el problema de los inicios de sesión mediante OTP y enlaces mágicos sigue sin resolverse, lo que supone un reto continuo para la seguridad. En general, asegúrate de seguir las siguientes buenas prácticas:

Utilice un número de teléfono único e inédito para la AMF basada en SMS a fin de reducir los riesgos.
Reserve la AMF basada en SMS para las cuentas menos sensibles, dando prioridad a métodos más potentes para las cuentas de alto riesgo.
Supervise regularmente las actividades de la cuenta para detectar cualquier indicio de acceso no autorizado o actividades sospechosas.

Implicaciones empresariales y soluciones avanzadas

Las vulnerabilidades puestas de manifiesto por la AMF basada en SMS, especialmente ilustradas por incidentes como la violación de la cuenta de Amazon, subrayan la urgente necesidad de reforzar las estrategias de seguridad digital. Esto es especialmente crítico para las empresas, donde lo que está en juego es significativamente mayor debido al volumen de datos sensibles y activos financieros en riesgo. En el ámbito corporativo, la implantación de métodos robustos de AMF va más allá de la protección de los usuarios individuales; se trata de salvaguardar la infraestructura digital de la empresa, la propiedad intelectual y mantener la confianza con las partes interesadas.

Las empresas deben dar prioridad al despliegue de soluciones avanzadas de AMF, como la verificación biométrica y las claves de seguridad, que ofrecen una defensa más sólida contra las ciberamenazas. Además, las empresas deben fomentar una cultura de concienciación sobre la seguridad, asegurándose de que los empleados de todos los niveles entienden los riesgos y se adhieren a las mejores prácticas de seguridad. Esta vigilancia colectiva es crucial en una época en la que las ciberamenazas no sólo son cada vez más sofisticadas, sino que también pueden perturbar las operaciones empresariales y dañar a largo plazo la reputación de una organización.

¿Quiere saber más?

Vectra® es el líder en detección y respuesta a amenazas cloud híbrida basadas en IA de seguridad. La plataforma y los servicios de Vectra cubren la cloud pública, las aplicaciones SaaS, los sistemas de identidad y la infraestructura de red, tanto en las instalaciones como cloud. Organizaciones de todo el mundo confían en la plataforma y los servicios de Vectra para resistir el ransomware, el compromiso de la cadena de suministro, la apropiación de identidades y otros ciberataques que afectan a su organización.

Si quiere saber más, póngase en contacto con nosotros y le mostraremos exactamente cómo lo hacemos y qué puede hacer para proteger sus datos. También podemos ponerle en contacto con uno de nuestros clientes para que nos cuente directamente su experiencia con nuestra solución.

Contáctenos

Preguntas frecuentes

¿Qué es la autenticación multifactor (AMF) basada en SMS y por qué se utiliza?

La AMF basada en SMS es un proceso de seguridad que utiliza mensajes de texto para enviar un código de un solo uso o un enlace como capa adicional de verificación al iniciar sesión en una cuenta. Se utiliza para mejorar la seguridad exigiendo una segunda forma de autenticación además de la contraseña.

¿Cómo puede plantear problemas de seguridad un número de teléfono antiguo vinculado a una cuenta?

Si un número de teléfono se reasigna a un nuevo usuario pero sigue vinculado a las cuentas del propietario anterior, el nuevo usuario puede acceder potencialmente a esas cuentas. Esto puede dar lugar a un acceso no autorizado y a un posible uso indebido de información personal y financiera.

¿Cuáles son las implicaciones más amplias de las vulnerabilidades de la AMF basada en SMS para las empresas?

Las empresas corren un mayor riesgo debido a los grandes volúmenes de datos sensibles y activos financieros. Las vulnerabilidades de la AMF basada en SMS pueden provocar brechas significativas, pérdidas financieras y daños a la reputación. Las empresas deben adoptar soluciones MFA más sólidas para proteger su infraestructura digital.

¿Cómo pueden los usuarios mitigar los riesgos asociados a la AMF basada en SMS?

Los usuarios pueden:

Utilice un número de teléfono único e inédito para la AMF basada en SMS.
Reserve la AMF basada en SMS para las cuentas menos sensibles.
Actualice periódicamente la información de la cuenta, especialmente los números de teléfono.
Supervise las actividades de la cuenta en busca de indicios de acceso no autorizado.

¿Qué importancia tiene la actualización periódica de la información de las cuentas en la seguridad digital?

Actualizar periódicamente la información de las cuentas, incluidos los números de teléfono, ayuda a evitar accesos no autorizados. Si un número de teléfono antiguo sigue vinculado a las cuentas, pueden surgir problemas de acceso y posibles infracciones cuando el número se reasigna a un nuevo usuario.

¿Cuáles son los principales riesgos asociados a la AMF basada en SMS?

Los principales riesgos son:

Interceptación de mensajes SMS: Los mensajes SMS no están cifrados y pueden ser interceptados por atacantes.
Dependencia de la red móvil: Las interrupciones pueden impedir la recepción de códigos de autenticación.
Vulnerabilidades del SS7: Aunque ahora es menos común, los atacantes pueden explotar el protocolo SS7 para interceptar mensajes.
Ingeniería social: Los atacantes pueden engañar a particulares o proveedores para que transfieran números de teléfono.
Compra masiva de números: Los atacantes pueden comprar números de teléfono en masa para hacerse con cuentas.

¿Qué debe hacer si su número de teléfono es reasignado y sigue vinculado a sus cuentas?

Actualice inmediatamente su número de teléfono en todas sus cuentas en línea. Póngase en contacto con los proveedores de servicios para disociar su antiguo número de sus cuentas. Supervisa regularmente tus cuentas para detectar cualquier actividad inusual y activa métodos MFA más potentes cuando sea posible.

¿Cuáles son las alternativas recomendadas a la AMF basada en SMS?

Las alternativas más fuertes incluyen:

Autenticadores basados en aplicaciones: Como Google Authenticator y Microsoft Authenticator.
Verificación biométrica: Mediante huellas dactilares o reconocimiento facial.
Llaves de seguridad: Dispositivos físicos que proporcionan una capa adicional de seguridad.

¿Cómo pueden los usuarios mitigar los riesgos asociados a la AMF basada en SMS?

Los SOC son cruciales para vigilar, detectar y responder a las amenazas a la seguridad. La implantación de una sólida plataforma de detección y respuesta a amenazas dentro de los SOC puede ayudar a identificar y mitigar las vulnerabilidades relacionadas con la AMF, mejorando la seguridad general.

¿Cómo pueden las empresas fomentar una cultura de concienciación sobre la seguridad entre sus empleados?

Las empresas pueden:

Impartir periódicamente programas de formación y concienciación en materia de seguridad.
Fomentar las mejores prácticas de seguridad digital.
Promover el uso de métodos de AMF sólidos y la supervisión periódica de las actividades de las cuentas.
Asegúrese de que los empleados comprenden los riesgos y están alerta ante posibles amenazas.

La aplicación de estas medidas y el mantenimiento de un enfoque proactivo de la seguridad digital pueden reducir significativamente los riesgos asociados a la AMF basada en SMS.