CertiK dice que SMS es la forma 'más vulnerable' de 2FA en uso

El uso de SMS como una forma de autenticación de dos factores siempre ha sido popular entre los entusiastas de las criptomonedas. Después de todo, muchos usuarios ya intercambian sus criptomonedas o administran páginas sociales en sus teléfonos, entonces, ¿por qué no simplemente usar SMS para verificar cuando acceden a contenido financiero confidencial?

Desafortunadamente, los estafadores se han dado cuenta últimamente de explotar la riqueza oculta bajo esta capa de seguridad a través del intercambio de SIM, o el proceso de redirigir la tarjeta SIM de una persona a un teléfono que está en posesión de un hacker. En muchas jurisdicciones de todo el mundo, los empleados de telecomunicaciones no solicitarán una identificación gubernamental, identificación facial o números de seguro social para manejar una solicitud de portabilidad simple.

Combinado con una búsqueda rápida de información personal disponible públicamente (bastante común para las partes interesadas de la Web 3.0) y preguntas de recuperación fáciles de adivinar, los suplantadores pueden transferir rápidamente el SMS 2FA de una cuenta a su teléfono y comenzar a usarlo para fines nefastos. A principios de este año, muchos Youtubers de criptomonedas fueron víctimas de un ataque de intercambio de SIM donde los piratas informáticos publicaron videos de estafa en su canal con un texto que indica a los espectadores que envíen dinero a la billetera del hacker. En junio, el proyecto Duppies de Solana NFT violó su cuenta oficial de Twitter a través de un SIM-Swap con piratas informáticos que tuitearon enlaces a una menta furtiva falsa.

Con respecto a este asunto, Cointelegraph habló con el experto en seguridad de CertiK, Jesse Leclere. Conocido como líder en el espacio de seguridad de blockchain, CertiK ha ayudado a más de 3,600 proyectos a asegurar activos digitales por un valor de $360 mil millones y ha detectado más de 66,000 2018 vulnerabilidades desde XNUMX. Esto es lo que dijo Leclere:

“SMS 2FA es mejor que nada, pero es la forma más vulnerable de 2FA actualmente en uso. Su atractivo proviene de su facilidad de uso: la mayoría de las personas están en su teléfono o lo tienen a mano cuando inician sesión en plataformas en línea. Pero su vulnerabilidad a los intercambios de tarjetas SIM no puede subestimarse”.

Leclerc explicó que las aplicaciones de autenticación dedicadas, como Google Authenticator, Authy o Duo, ofrecen casi toda la comodidad de SMS 2FA y eliminan el riesgo de intercambio de SIM. Cuando se le preguntó si las tarjetas virtuales o eSIM pueden evitar el riesgo de ataques de phishing relacionados con el intercambio de SIM, para Leclerc, la respuesta es un claro no:

“Hay que tener en cuenta que los ataques de intercambio de SIM se basan en el fraude de identidad y la ingeniería social. Si un mal actor puede engañar a un empleado de una empresa de telecomunicaciones haciéndole creer que es el propietario legítimo de un número adjunto a una SIM física, también puede hacerlo con una eSIM.

Aunque es posible impedir este tipo de ataques bloqueando la tarjeta SIM en el teléfono (las empresas de telecomunicaciones también pueden desbloquear teléfonos), Leclere apunta al estándar de oro del uso de llaves de seguridad físicas. “Estas teclas se conectan al puerto USB de su computadora y algunas están habilitadas para comunicación de campo cercano (NFC) para facilitar su uso con dispositivos móviles”, explica Leclere. “Un atacante necesitaría no solo conocer su contraseña, sino también tomar posesión físicamente de esta clave para ingresar a su cuenta”.

Leclere señala que después de exigir el uso de claves de seguridad para los empleados en 2017, Google no ha experimentado ningún ataque de phishing exitoso. “Sin embargo, son tan efectivos que si pierde la clave que está vinculada a su cuenta, lo más probable es que no pueda recuperar el acceso a ella. Es importante mantener varias llaves en lugares seguros”, agregó.

Finalmente, Leclere dijo que, además de usar una aplicación de autenticación o una clave de seguridad, un buen administrador de contraseñas facilita la creación de contraseñas seguras sin reutilizarlas en varios sitios. “Una contraseña fuerte y única combinada con 2FA sin SMS es la mejor forma de seguridad de la cuenta”, afirmó.