Fragilidad en la autenticación por SMS

En numerosas ocasiones ya se ha demostrado que la autenticación en dos pasos a través de mensajes SMS no es seguro.

La autenticación en dos pasos (2FA) es un sistema que tiene como objetivo asegurar que la persona física que está realizando la transacción es la persona propietaria o autorizada para acceder a la cuenta y operar con ella. Dicho de otro modo, contribuye a proteger la información de la cuenta.

En este sentido, además de conocer las claves de entrada a la cuenta, se requerirá un segundo paso que consiste en conocer algo que sólo el usuario conoce o bien algo que se tiene o bien algo que es.

En el caso de la verificación del segundo factor basado en SMS, se asume que el control del número de teléfono al que se envían los mensajes es suficientemente robusto como para asegurar la identidad de la persona.

Tal y como hemos mencionado anteriormente, el envío de una clave por SMS no puede ser considerado como el segundo paso de verificación dado que, no es algo que el usuario sabe, ni algo que tiene, ni algo que es, sino es información que llega al dispositivo que posee, siempre que éste esté manos de la persona esperada.

En 2017, El Instituto Nacional de Estándares y Tecnología de los Estados Unidos (NIST), declaró inseguros los SMS como método de autenticación en dos pasos (NIST Special Publication 800-63B, Junio 2017, https://doi.org/10.6028/NIST.SP.800-63b).

Los tipos de ataque que pueden sufrir los sistemas que basan su autenticación en SMS pueden ser múltiples, incluyendo el clonado de la tarjeta SIM (SIM Swapping) o el envío de SMS suplantando a la entidad bancaria (SMS spoofing) o bien usando técnicas para interceptar la comunicación.

Por todo ello, todos los sistemas basados en SMS están realizando una transición a la verificación mediante aplicaciones de autenticación o incluso mediante notificación PUSH, ya que éstas se envían directamente al dispositivo y no al número de teléfono.

Artículos de referencia: