Microsoft pide a los usuarios que dejen de confiar en los mensajes SMS y llamadas de voz como herramienta de autenticación multifactor
Alex Weinert, director asociado de seguridad de la identidad en Microsoft, lleva un año promoviendo que los usuarios acepten y habiliten soluciones de autenticación multifactor (MFA, por sus siglas en inglés) como modo de proteger sus cuentas online.
No es mero convencimiento personal, sino también una política promovida por su compañía: según las estadísticas internas que manejan, los usuarios de cuentas Microsoft lograron bloquear el 99,9% de los ataques automatizados que recibieron, todo gracias a la autenticación multifactor.
Pese a eso, no todos los sistemas MFA son útiles, ni meramente recomendables. Y por eso Weinert ha empezado a desaconsejar el uso la autenticación basada en SMS y llamadas al teléfono móvil, un tipo de MFA bastante popular hoy en día.
Según el directivo de Microsoft, su posición se fundamenta en la amenaza que representa este método por sus agujeros de seguridad... unos agujeros no atribuibles a la propia tecnología multifactor, sino a las redes telefónicas móviles.
Agujeros de seguridad... y dos alternativas
La clave del problema reside en que, aunque los métodos criticados por Weinert recurren a códigos de un sólo uso, tanto los SMS como las llamadas de voz nos hacen llegar dichos códigos a través de canales no cifrados.
Esto que provoca que los mensajes puedan ser fácilmente interceptados mediante malware (como Modlishka) o mediante sistemas de espionaje (como SS7), por no mencionar los ataques de ingeniería social contra empleados de las operadoras.
Sumemos a eso los problemas de cobertura que pueden impedirnos autenticarnos en momentos de urgencia, y tenemos completo el cuadro. Además, Weinert nos recuerda que, a medida que más usuarios recurran a estos métodos, habrá más cibercriminales intentando romper su seguridad.
Por eso, su recomendación para con los usuarios es apostar por un mecanismo MFA que él considera bastante más sólido: el basado en apps de autenticación como Microsoft Authenticator y Google Authenticator.
Aunque la verdadera preferencia de Weinert, el sistema que ha calificado más de una vez como la mejor solución MFA, son las llaves de seguridad basadas en hardware.