Header Ads Widget

Ticker

6/recent/ticker-posts

SMS: enviar mensajes de texto con cadenas numéricas es el mejor regalo navideño para los ladrones cibernéticos

 La autenticación multifactor se ha convertido en una herramienta de seguridad tan común que muchos usuarios asumen que debe funcionar bien para proteger los datos y las comunicaciones. Lo que realmente hace es proporcionar un falso consuelo.


Durante años, se les ha dicho a las operaciones de seguridad y TI empresarial que deben avanzar más allá de enviar mensajes de texto con cadenas numéricas cortas en texto plano y llamarlo autenticación multifactor significativa (MFA) o incluso solo autenticación de dos factores (2FA). Es sorprendente la cantidad de empresas que todavía se aferran a esa farsa de seguridad de nivel de entrada, incluso sabiendo lo sujeta que está a los ataques de intermediarios.

En cuanto a la defensa frecuentemente citada de que "es mejor que no tener ningún MFA", no estoy tan seguro. Proporciona una falsa comodidad a los usuarios empresariales de que tienen una seguridad significativa. Eso evita que las empresas implementen rápidamente una seguridad verdaderamente sólida, como un MFA que utiliza varias capas de autenticación, incluido el reconocimiento de voz, la identificación facial o de dedo, cortesía del omnipresente teléfono inteligente y casi cualquiera de las aplicaciones de autenticación cifradas móviles. (No olvide que Signal también puede funcionar bien).

Microsoft optó recientemente por afirmar lo obvio y luego socavó su propia credibilidad al hacer que todo se tratara de Microsoft Authenticator y Windows Hello. No hay nada como presentar un argumento coherente y luego arruinarlo diciendo "Por lo tanto, debería descargar mi aplicación" o "Envíeme su dinero".

Dicho esto, si ignora el argumento de venta descarado y egoísta, el director de seguridad de identidad de Microsoft, Alex Weinert, tiene un buen argumento .

Weinert enfatizó las debilidades de las redes telefónicas conmutadas públicamente (PSTN) y luego argumentó que se usa de manera espantosa en muchos lugares.

"Vale la pena señalar que todos los mecanismos para explotar una credencial se pueden utilizar en PSTN - OTP. ¿Phish? Check. Social? Check. Toma de control de cuenta? Check. ¿Robo de dispositivo? Check. Su cuenta PSTN tiene todas las vulnerabilidades de cualquier otro autenticador y un una serie de otros problemas específicos de la PSTN ", escribió Weinert. "Debido a que muchos dispositivos dependen de la recepción de mensajes PSTN, el formato de los mensajes es limitado.

"No podemos hacer que los mensajes sean más ricos, o más largos, o hacer mucho más que enviar la OTP en un mensaje de texto corto o una llamada telefónica. Una de las ventajas significativas de los servicios es que podemos adaptarnos a las expectativas de experiencia del usuario, avances y comportamiento de los atacantes en tiempo real. Desafortunadamente, los formatos de voz y SMS no son adaptables, por lo que las experiencias y oportunidades de innovaciones en usabilidad y seguridad son muy limitadas ".


Eso es absolutamente correcto. Dicho de otra manera: todos estos esfuerzos son una seguridad horrible y la madurez de PSTN es tal que no se puede mejorar.

Es importante asumir que cualquier interacción de autenticación es el resultado de un compromiso previo. Si opera con la premisa de que todos los intentos de entrada son malos que aprovechan las credenciales (o la información de usuario y credenciales) robadas en un ataque de phishing, estará mucho mejor y será obvio por qué los textos sin cifrar son inaceptables en 2021 (la verdad es dicho, han sido inaceptables durante unos cinco años, pero intentemos ser amables).

La belleza de los detalles compartidos a través de una aplicación encriptada o la información recopilada a través de la biometría es que es muy poco probable que un ataque de phishing recopile.

Pero, ¿no hay formas de evitar la biometría, como los modelos de plástico, que pueden engañar al sistema? Absolutamente. Pero esos esfuerzos requieren mucho tiempo, y los ladrones cibernéticos profesionales tienen que ver con la eficiencia. Sí, existen algunas limitaciones para todos estos enfoques. Por eso hago hincapié en la "M" en MFA. Multi. La seguridad de una empresa se basa en cuántos métodos de autenticación móvil se pueden apilar. Una empresa con la que he hablado usa el reconocimiento facial para iniciar sesión, pero luego usa una aplicación encriptada para continuar con la autenticación, además del reconocimiento de voz si la persona tiene que hablar con alguien.

Cuantas más capas, más seguridad. Tal vez un chico malo pueda aprovechar un defecto en una de esas capas, pero ¿todas? No es probable.

Publicar un comentario

0 Comentarios