Header Ads Widget

Ticker

6/recent/ticker-posts

La autenticación de texto es incluso peor de lo que casi nadie pensaba


Todo el mundo ha estado dando conferencias a TI sobre lo horrible que es la seguridad de enviar números de texto para autenticación durante años, incluido yo . Ahora, gracias a unos excelentes informes de Vice , está claro que la situación del texto es mucho peor de lo que casi nadie pensaba. No son solo los mensajes de texto los que tienen fallas de ciberseguridad inherentes, sino que todo el espacio de telecomunicaciones que rodea la infraestructura de texto es absolutamente abismal.

El ataque de sombrero blanco demostrado interceptó y redirigió todos los mensajes de texto de la víctima, pero no fue una toma de control técnica. El sombrero blanco (a quien el reportero de Vice le había pedido que intentara robar sus mensajes de texto) simplemente pagó una pequeña tarifa ($ 16) a una empresa legítima de mensajería y marketing por SMS llamada Sakari. El sombrero blanco tuvo que mentir acerca de tener el permiso del usuario, pero no se buscó ninguna prueba significativa.

"Una vez que el (atacante) puede desviar los mensajes de texto de un objetivo, puede ser trivial hackear otras cuentas asociadas con ese número de teléfono", dijo la historia de Vice . "En este caso, el (atacante) envió solicitudes de inicio de sesión a Bumble, WhatsApp y Postmates, y accedió fácilmente a las cuentas".

Desde una perspectiva de seguridad de TI, esta historia se vuelve mucho más aterradora a medida que profundiza en lo desordenado que está todo el universo de las telecomunicaciones cuando se trata de proteger las comunicaciones de texto. Esa es otra razón por la que no se puede confiar en los mensajes de texto para la autenticación o, en realidad, para casi cualquier cosa.

Considere esto de la historia: "En el caso de Sakari, recibe la capacidad de controlar el redireccionamiento de mensajes de texto de otra empresa llamada Bandwidth, según una copia de la LOA (Carta de autorización) de Sakari obtenida por Motherboard. Bandwidth le dijo a Motherboard que ayuda administra la asignación de números y el enrutamiento del tráfico a través de su relación con otra compañía llamada NetNumber. NetNumber posee y opera la base de datos centralizada y patentada que la industria usa para el enrutamiento de mensajes de texto, Override Service Registry (OSR), dijo Bandwidth ".

Durante años, el argumento clave en contra de confiar en las confirmaciones de mensajes de texto es que son susceptibles a ataques de intermediario, lo cual sigue siendo cierto. Pero este vistazo a la infraestructura autorizada para mensajes de texto significa que las adquisiciones de texto pueden ocurrir de manera mucho más simple.

Hay muchas aplicaciones de fácil acceso que hacen que la autenticación de texto sea mucho más segura, como Google Authenticator, Symantec's VIP Access, Adobe Authenticator y Signal. ¿Por qué arriesgarse a mensajes de texto no cifrados y fácilmente robados para acceder a la cuenta o cualquier otra cosa?

Por el momento, dejemos de lado lo relativamente fácil y económico que es pasar a una versión más segura de las confirmaciones de texto. También, por el momento, dejemos de lado los riesgos operativos y de cumplimiento que su equipo está tomando al permitir que la empresa otorgue acceso a la cuenta frente a los textos no cifrados.

¿Qué tal considerar únicamente las implicaciones de riesgo y cumplimiento de ofrecer acceso de terceros a través de autenticaciones de texto sin cifrar? Recuerde esto del artículo de  Vice : "El (atacante) envió solicitudes de inicio de sesión a Bumble, WhatsApp y Postmates, y accedió fácilmente a las cuentas".

Una vez que un chico malo toma el control de los mensajes de texto de un cliente, se produce un gran efecto dominó, donde se puede acceder indebidamente a muchas empresas. ¿Qué pasa si algún abogado de una de esas otras empresas ve su empresa como un bolsillo profundo y argumenta algo como "Si (su empresa) no hubiera desencadenado una reacción en cadena insegura al insistir en utilizar textos no cifrados como autorización, mi cliente no lo haría? me he sentido cómodo haciendo lo mismo. Por lo tanto, (su empresa) debería cubrir nuestras pérdidas ". ¿Suena absurdo? Quizás, pero antes de que su gente deje que tal argumento sea juzgado, se resolverán entregando una buena parte de su solicitud de aumento de presupuesto de TI para el próximo año.

Luego está el retroceso (financiero, percepción de marca, comentarios desagradables en las redes sociales, reducción de nuevos clientes, etc.) de su base instalada y prospectos, además de la posibilidad de litigio por parte de ellos también.

¿Y cumplimiento? Hay dos argumentos típicos cuando se intenta defender un comportamiento tan imprudente ante los reguladores. Uno: "Esta era una práctica típica de la industria. Puedo presentar pruebas de que el 80% de nuestros competidores también lo hicieron". Dos: "En ese momento, no teníamos ninguna razón para creer que la seguridad de los textos no cifrados fuera tan mala".

En cuanto al argumento uno (práctica típica de la industria), esa defensa comenzará a desaparecer rápidamente. Funcionará bien para defender esta práctica horrible para la actividad de 2020, pero las empresas comenzarán a retirarse este verano.

En cuanto al argumento dos (¿quién sabía?), Esta historia de Vice y la reacción a ella también van a borrar esa defensa.

No permita que su empresa sea la última en su sector en deshacerse de los mensajes de texto no cifrados para la autenticación. Esas son las empresas que terminan pagando el precio más alto. 

Publicar un comentario

0 Comentarios