Novedades

Anuncio de servicio público: deje de usar su número de teléfono para la autenticación de dos factores: este es el motivo

La autenticación de dos factores está en todas partes. Desde el momento en que inicia sesión en su Gmail 2FA es una cuenta para acceder a su información financiera a través de PayPal y sirve como una forma más segura de iniciar sesión. También puede obtenerlo cuando configura uno PS5 o Xbox X Series.. Lo más probable es que esté acostumbrado hoy.

2FA es una capa adicional de seguridad, también conocida como autenticación multifactor, utilizada por casi todas las plataformas en línea que evita que muchos piratas informáticos de bajo nivel protejan su valiosa información privada de daños.

Desafortunadamente, las tácticas de piratería se desarrollan para siempre y todo lo que se necesita es un ciberdelincuente loco para encontrar un pequeño agujero en tu armadura y saquear las relaciones irresistibles en tu tiempo libre. Sin embargo, no es necesario ser un maestro en la división de códigos para acceder a una cuenta de víctima sin restricciones.

De hecho después de Verizon 2021 Informe de investigación de violación de datosEl robo de credenciales representó el 61% de las 5.250 violaciones de seguridad declaradas analizadas por el operador de red estadounidense. El propósito de la autenticación multifactor es, por supuesto, evitar que los actores malintencionados accedan a una cuenta incluso si descubren una contraseña de alto secreto.

Pero al igual que la forma en que Scar dejó las ruinas de Mufasa en una de las mayores traiciones de la historia, el método de seguridad puede ser la principal causa del ciberdelito. ¿El verdadero traidor? Tu antiguo número de teléfono.

Para comprender mejor cómo los atacantes pueden usar la autenticación de dos factores en su contra, debe comprender cómo funciona el método de seguridad en línea y cómo funciona. Si eso ayuda, piense en su antiguo número de teléfono como una cicatriz en este artículo.

¿Qué es la autenticación de dos factores?

La autenticación multifactor (MFA) es un método de autenticación digital que se utiliza para verificar la identidad de un usuario para que pueda acceder a un sitio web o aplicación a través de al menos dos pruebas. La autenticación de dos factores, comúnmente conocida como 2FA, es el método más utilizado.

Para que 2FA funcione, un usuario debe tener al menos dos credenciales clave para iniciar sesión en una cuenta (con el multiprocesador generalmente más de tres datos diferentes). Es decir, si un usuario no autorizado recibe una contraseña, aún necesitará acceder a un correo electrónico o número de teléfono asociado con la cuenta a la que se envía un código especial para protección adicional.

Por ejemplo, un banco requiere un nombre de usuario y una contraseña para permitir que un usuario inicie sesión en su cuenta. Sin embargo, también requiere el segundo tipo de autenticación, es decir, B. código único o reconocimiento de huellas dactilares para confirmar la identidad del usuario. Este segundo factor también se puede utilizar antes de realizar una transacción.

cómo explicado La empresa de software Ping Identity divide las credenciales requeridas por 2FA en tres categorías diferentes: “¿Qué sabes?”, “¿Qué sabes?” Y “¿Qué eres?”. Para “lo que sabe” o lo que sabe, depende de su contraseña, número PIN o la respuesta a una pregunta de seguridad como “¿cuál es el apellido de soltera de su madre?” (Algo que no recuerdo).

“Lo que eres” es probablemente la categoría más segura, porque verifica tu identidad utilizando un atributo físico que es exclusivo para ti. Esto generalmente se ve en Teléfono inteligente, como en el teléfono o Samsung galaxia Un teléfono que utiliza autenticación biométrica, como huellas dactilares o escaneo facial para obtener acceso.

En cuanto a “lo que tienes”, se refiere a lo que posees. Puede ser desde un dispositivo inteligente hasta una tarjeta inteligente. Este método generalmente significa que recibirá una notificación emergente en su teléfono a través de SMS que debe confirmarse antes de que pueda iniciar sesión en una cuenta. Cualquiera que use Gmail for Business conoce esta categoría.

Desafortunadamente, la última categoría es motivo de preocupación, especialmente cuando se incluye en la mezcla de reciclaje de números de teléfono.

Reciclar el número de teléfono

Según la Comisión Federal de Comunicaciones (FCC) Más de 35 millones de números en los Estados Unidos se desconectan y se ponen a disposición para ser reasignados a un nuevo suscriptor cada año. Claro, los números son infinitos y todo, pero hay tantas combinaciones de 10 u 11 dígitos que una red celular puede ofrecer a sus clientes.

La Oficina de Comunicaciones del Reino Unido (Ofcom), la empresa que asigna números de teléfono móvil a los operadores de red del Reino Unido (tres Calidad de la velada(b) existe una política estricta sobre el uso o la pérdida de números móviles de pago por uso. Vodafone desconecta y recicla un número de teléfono después de solo 90 días de inactividad, y O2 lo hace después de 12 meses.

En los Estados Unidos, los operadores de red son inclusivos Verizon es T-Mobile Permita que los clientes cambien y seleccionen los números que se muestran en las interfaces en línea para cambiar el número a través de su sitio web o aplicación. Se reciclan millones de números de teléfono y se acumulan más cada día.

Los números reciclados pueden dañar a la persona a la que originalmente pertenecían porque muchas plataformas, incluidas Gmail y Facebook, están vinculadas a su número de teléfono para recuperar la contraseña o la autenticación de dos factores.

Cómo 2FA lo pone en riesgo

UNA. ella estudia en la Universidad de Princeton descubrió la facilidad con la que una persona puede obtener un número de teléfono reciclado y usarlo para ataques cibernéticos comunes, incluida la apropiación de cuentas e incluso la denegación del acceso a una cuenta mediante la retención de rehenes y la demanda de rescate para el acceso.

Según el estudio, un atacante puede encontrar los números disponibles y comprobar si alguno de ellos está vinculado a las cuentas anteriores de los anteriores propietarios. Al mirar sus perfiles en línea y verificar que su número anterior esté vinculado, los atacantes pueden comprar el número reciclado (€ 15 solo en T-Mobile) y restablecer la contraseña en las cuentas. Con 2FA recibirás el código especial que te será enviado vía SMS y lo ingresarás.

Los investigadores probaron 259 números encontrados a través de dos operadores celulares de EE. UU. Y encontraron que 171 tenían una cuenta vinculada en al menos uno de los seis sitios web de uso común: Amazon, AOL, Facebook, Google, PayPal y Yahoo. Esto se denomina “ataque de búsqueda inversa”.

Los investigadores encontraron otra variante del ataque que permitía a los atacantes secuestrar cuentas sin restablecer una contraseña. Utilice el servicio de búsqueda de personas en línea Está comprobado, Un pirata informático podría usar un número de teléfono reciclado para recuperar una dirección de correo electrónico y luego verificar que las direcciones de correo electrónico estén asociadas con una violación de datos. ¿Me he conocido?. Si es así, el atacante podría comprar la contraseña en un mercado negro de delitos informáticos e iniciar sesión en una cuenta habilitada para 2FA sin restablecer ninguna contraseña.

Para empeorar las cosas, los atacantes pueden albergar a sus rehenes. Darle a un hacker un número para acceder a muchos servicios en línea que requieren un número de teléfono es un truco. Al final del proceso, el servicio se detendrá para que el número se pueda reutilizar para un nuevo suscriptor. Si el nuevo usuario intenta registrarse para los mismos servicios, el pirata informático será notificado a través de 2FA y se le negará la oportunidad de utilizar el servicio. El actor de la amenaza luego le pide a la víctima que pague el dinero del rescate si desea utilizar estos servicios en línea.

Usar 2FA de esta manera es muy difícil, pero eso no lo detiene. T-Mobile revisó el estudio en diciembre y recuerda que los suscriptores ahora tienen que actualizar su número de contacto en cuentas bancarias y perfiles de redes sociales cuando cambia el número Pagina de soporte. Pero eso es todo lo que puede hacer el usuario, es decir, aquellos que no se dan cuenta de un ataque.

Formas alternativas de usar 2FA

En todo caso, los números de teléfono no coinciden muy bien con 2FAn. Sin embargo, la buena noticia es que ahora hay más opciones disponibles si elige usar 2FA, incluidos los métodos biométricos o las aplicaciones de autenticación mencionadas anteriormente.

Escáner de huellas dactilares Google Pixel 5

Sin embargo, estas opciones no siempre están disponibles y, a veces, los servicios en línea solo ofrecen dos opciones de 2FA: su número de teléfono o su dirección de correo electrónico. Si no quiere que los piratas informáticos busquen su información privada, lo mejor que puede hacer es utilizar la autenticación de correo electrónico. Por supuesto, hay personas que no siempre usan el correo electrónico y a menudo olvidan las contraseñas con el tiempo. Sin contraseña significa cualquier forma de obtener un código de autenticación.

Para solucionar este problema, lo mejor que puede hacer es conseguir un administrador de contraseñas. Ultimo pase El progreso que ha logrado a lo largo de los años se debe a su servicio gratuito, pero hay otros competidores que vale la pena consultar.

“¿Pero qué pasa si ya utilizo mi número de teléfono para 2FA?” Te escuché preguntar. Si está pensando en cambiar su número de teléfono, asegúrese de desconectar su número de teléfono de los servicios en línea a los que está conectado antes de realizar el cambio. Y si ya hizo el cambio, vale la pena actualizar sus cuentas para eliminar cualquier cicatriz (número de teléfono) que esté esperando en su sofá cuando menos lo espere.

perspectiva

La autenticación de dos factores está en todas partes y está destinada a permanecer. Seguro, Google te obligará a usar 2FA pronto Cuando se registra, el gigante tecnológico garantiza un “futuro más seguro sin contraseña”. Esta no es una idea terrible, pero muchas personas tienen la opción de usar sus números de teléfono como medio de identificación. Estamos seguros de que a los piratas informáticos de bajo nivel les gusta este sonido.

Para evitar que esto suceda, una vez que 2FA haya tomado el control de todas las plataformas en línea, todo lo que tiene que hacer es leer el título de este artículo y seguir nuestros consejos.

Publicaciones Similares