Mensajes de texto y autenticación de dos factores: lo que toda empresa debe saber

A medida que los delincuentes se vuelven más diligentes en sus esfuerzos por penetrar las defensas de los usuarios, las empresas deben volverse más activas para mantener la integridad de sus datos.

Los clientes, más acostumbrados a enviar un correo electrónico como si fuera por correo postal, podrían reaccionar incómodos ante cualquier paso adicional requerido. Afortunadamente, los clientes están mejor informados y el proceso es cada vez más fácil.

El objetivo es hacer que la identificación de dos factores sea lo más fácil posible para los usuarios finales y, al mismo tiempo, garantizar que sea difícil para los malhechores eludirla.

¿Suena formidable? ¡Relax! La autenticación de dos factores ( 2FA ) ha evolucionado para combatir a esos ladrones astutos.

¿Como funciona?

2FA agrega una capa adicional a los protocolos de autenticación. Puede venir en muchas formas. A veces es biométrico, lo que requiere que una voz, una huella dactilar, un escaneo de retina o algún otro elemento único sea parte de la mezcla.

Estos necesitan un amplio mantenimiento de registros y almacenamiento de PII (información de identificación personal), lo que puede aumentar significativamente los gastos generales, además de causar problemas de seguridad adicionales en caso de que el almacenamiento se vea comprometido.

Sin embargo, aunque tales técnicas son posibles, no son prácticas en la mayoría de los casos. En cambio, instituciones como los bancos emiten tarjetas de identidad únicas para (por ejemplo) operar un cajero automático (ATM). Tales tarjetas son inútiles sin el PIN (número de identificación personal).

Esta seguridad se basa en tener un elemento específico y combinarlo con un conocimiento particular. Las tarjetas bancarias se pueden perder cuando una billetera es robada o extraviada, pero las tarjetas en sí son inútiles sin el PIN.

La autenticación de dos factores aumenta el paradigma tradicional de 'nombre de usuario' y 'contraseña'.

Beneficios de la autenticación de dos factores

Las pandillas organizadas, o incluso los delincuentes solitarios, han encontrado estrategias para engañar a personas inteligentes para que tomen algunas decisiones sorprendentemente malas, como otorgar acceso seguro a extraños o compartir contraseñas.

2FA a través de SMS hace que el proceso sea lo suficientemente difícil para los delincuentes que, en general, la mayoría de nosotros somos demasiado poco interesantes para llamar la atención.

Eliminando un paso

El IoT , o Internet de las cosas, ha sido una gran ayuda para la humanidad (así como una pesadilla, en algunos casos). Significa que actualmente se utilizan 5 mil millones de teléfonos inteligentes, además de innumerables otros dispositivos que pueden recibir mensajes SMS.

Según las estimaciones actuales, 21/2 mil millones de terrícolas llevan al menos un teléfono inteligente (aparte de todos nuestros otros dispositivos).

Está con nosotros casi todo el tiempo, al alcance de la mano, y nos hemos vuelto bastante dependientes de él.

Los servicios 2FA no tienen que emitir herramientas de identificación discretas; ni tienen que almacenar información innecesaria sobre individuos.

Todavía podemos tener nombres y contraseñas, pero ahora, una vez identificados, el servicio puede usar la autenticación por SMS para enviarnos un mensaje de texto con un PIN temporal que caduca en solo uno o dos minutos.

Ahora sabe algo (nombre y contraseña) y tiene algo (su teléfono), por lo que puede continuar. ¿Qué podría ser más fácil?

Miedo lejos, los clientes lo usarán

Algunas empresas piensan que los clientes se rebelarán y llevarán sus negocios a otra parte. Como prueba, a menudo señalan el hecho de que solo el 10 % de los usuarios de Gmail activan 2FA o, más concretamente, el 90 % no lo hace .

Si bien usar 2FA es sin duda una buena idea, debe ser consciente del paradigma que está funcionando aquí. Las personas a menudo usan una empresa de seguridad o un servicio de correo electrónico de ISP privado para su correo 'importante' y Gmail para absorber el spam y proporcionar comunicación con sitios web que no son de confianza.

Los que lo usan para 'todo' tienden a tener más cuidado; para el resto, no vale la pena el esfuerzo extra.

Los clientes ahora exigen 2FA para transacciones financieras

Cuando se trata de mover dinero , por otro lado, los clientes tienden a ser mucho más particulares y a aprovechar las medidas de seguridad adicionales.

Si no ofrece servicios de autenticación por SMS, se trasladarán a otro proveedor. Sitios web populares como Amazon, LinkedIn, PayPal y DropBox requieren 2FA para transacciones financieras desde dispositivos desconocidos o para intercambiar PII.

Para mayor comodidad, con frecuencia encontrará pequeñas casillas de verificación que dicen "Confiar en este dispositivo", lo que significa que las transacciones futuras a través de ese dispositivo son automáticamente confiables.

Si toma prestada la tableta de un amigo para iniciar sesión en su cuenta bancaria, se le pedirá que obtenga un código de autenticación por única vez y por tiempo limitado, pero en su dispositivo registrado, solo será cuestión de usar su contraseña y nombre habituales.

Algunos sitios requieren que certifique un dispositivo solo una vez; otros mensualmente, o anualmente. Los sitios de alta seguridad requieren 2FA en cada inicio de sesión.

Desafíos de la autenticación de dos factores

2FA no es una panacea porque los hackers expertos pueden interceptar SMS y reenviar llamadas instantáneamente, todo esto para enviar el código resultante a otra parte.

Sin embargo, '¡No entren en pánico!', como nos aconsejó una vez Douglas Noel Adams. Se necesita una gran cantidad de trabajo, y por lo general se limita a los empleados deshonestos dentro de un proveedor de servicios GSM, para crear estas oportunidades de explotación.

Cuando se puede obtener una ganancia significativa, los delincuentes están dispuestos a esforzarse más.

Aquellos que transfieren decenas de miles o millones (o en el caso de las celebridades, todas sus fotos de desnudos) deben tomar precauciones adicionales, pero eso no preocupa a la mayoría de la población.

Algunos sistemas son intrínsecamente débiles o están protegidos por representantes de servicio al cliente que están demasiado ansiosos por restablecer las contraseñas. Es probable que sea mejor quedarse con empresas de renombre que utilicen un servicio de marca.

Por supuesto, 2FA puede ser problemático para las personas que se sienten obligadas a obtener un nuevo teléfono inteligente cada año. Deben actualizar todas sus cuentas, identificando el nuevo dispositivo (agregando nuevos y eliminando permisos antiguos), antes de poder acceder a ellos sin problemas. Tal es el costo de tener siempre la última tecnología…

Más herramientas para 2FA

Se podría pensar que hay mejores herramientas para tener. Hay herramientas de aplicaciones, como Google Authenticator (ver un ejemplo de prueba de trabajo aquí), que son a prueba de 'intercepción de SMS' o, si eres un fanático de Apple, notificaciones PUSH que tampoco usan el sistema de SMS.

Puedes usar algo así si te atrae. En entornos de alta seguridad, existen herramientas aún más potentes y se utilizan con frecuencia cuando es necesario.

Es posible que haya oído hablar de un dispositivo de llavero tipo USB que genera una contraseña aleatoria a pedido, por ejemplo. Esto es útil para una organización, pero mucho menos para tratar con miles de miembros del público en general.

la comida para llevar

Todos estos son grandes sistemas y superan cualquier debilidad percibida de 2FA impulsada por SMS. La verdad, sin embargo, es que dichas debilidades son menores y no necesariamente intrínsecas. La culpa casi siempre recae en la implementación de los protocolos por parte de las empresas de comunicaciones individuales.

Esas fallas se volverán académicas con el tiempo a medida que avancemos hacia la eliminación de vulnerabilidades en protocolos explotados como SS7 (usado para habilitar el roaming en diferentes redes telefónicas).

El SMS es una excelente opción porque la gente ya lo entiende muy bien, es ubicuo y complica la vida de los hackers.

Protéjase a sí mismo y a sus clientes, como lo hemos hecho para Cloud Data Service, una agencia de desarrollo de software y web que se basa en la seguridad 2FA de SMS para garantizar que la información de sus clientes permanezca privada.

Si desea un canal de comunicación confiable y seguro para sus clientes, conéctese con uno de nuestros expertos de TextMagic a través de nuestro Formulario de contacto en línea o regístrese para una prueba gratuita, ¡para que pueda ver cómo funciona usted mismo!