CertiK asegura que el SMS es la forma más vulnerable de 2FA en uso, El nivel de seguridad proporcionado por los SMS palidece en comparación con los autenticadores o las claves de seguridad físicas, según dice Jesse Leclere de CertiK.
La forma más vulnerable de 2FA
El uso de SMS como una forma de autenticación de dos factores siempre ha sido popular entre los entusiastas de las criptomonedas. Después de todo, muchos usuarios ya intercambian sus criptomonedas o administran páginas sociales en sus teléfonos, entonces, ¿por qué no simplemente usar SMS para verificar cuando acceden a contenido financiero confidencial?
Desafortunadamente, los estafadores se han dado cuenta últimamente de explotar la riqueza oculta bajo esta capa de seguridad a través del intercambio de SIM, o el proceso de redirigir la tarjeta SIM de una persona a un teléfono que está en posesión de un hacker. En muchas jurisdicciones de todo el mundo, los empleados de telecomunicaciones no solicitarán una identificación gubernamental, identificación facial o números de seguro social para manejar una solicitud de portabilidad simple.
Combinado con una búsqueda rápida de información personal disponible públicamente (bastante común para las partes interesadas de Web3) y preguntas de recuperación fáciles de adivinar, los suplantadores pueden transferir rápidamente el SMS 2FA de una cuenta a su teléfono y comenzar a usarlo para fines nefastos. A principios de este año, muchos Youtubers de criptomonedas fueron víctimas de un ataque de intercambio de SIM en el que los piratas informáticos publicaron videos de estafa en su canal con un texto que indica a los espectadores que envíen dinero a la billetera del hacker. En junio, Duppies, proyecto de token no fungible (NFT) de Solana, violó su cuenta oficial de Twitter a través de un SIM-Swap con piratas informáticos que twittearon enlaces a una menta furtiva falsa.
Con respecto a este asunto, el experto en seguridad de CertiK, Jesse Leclere. Conocida como la empresa líder en el espacio de seguridad de blockchain, CertiK ha ayudado a más de 3600 proyectos a asegurar activos digitales por un valor de $360 mil millones y ha detectado más de 66 000 vulnerabilidades desde 2018. Respecto a este tema, esto es lo que opina Leclere:
«SMS 2FA es mejor que nada, pero es la forma más vulnerable de 2FA actualmente en uso. Su atractivo proviene de su facilidad de uso: la mayoría de las personas están en su teléfono o lo tienen a mano cuando inician sesión en plataformas en línea. Pero su vulnerabilidad a los intercambios de tarjetas SIM no se puede subestimar«.
Reciente: 45% de Nodos de ETH serían sancionados
Leclerc explicó que las aplicaciones de autenticación dedicadas, como Google Authenticator, Authy o Duo, ofrecen casi toda la comodidad de SMS 2FA y eliminan el riesgo de intercambio de SIM. Cuando se le preguntó si las tarjetas virtuales o eSIM pueden evitar el riesgo de ataques de phishing relacionados con el intercambio de SIM, para Leclerc, la respuesta es un claro no:
«Hay que tener en cuenta que los ataques de intercambio de SIM se basan en el fraude de identidad y la ingeniería social. Si un mal actor puede engañar a un empleado de una empresa de telecomunicaciones haciéndole creer que es el propietario legítimo de un número adjunto a una SIM física, entonces también puede hacerlo para una eSIM.»
Aunque es posible impedir este tipo de ataques bloqueando la tarjeta SIM en el teléfono (las empresas de telecomunicaciones también pueden desbloquear teléfonos), Leclere apunta al estándar de oro del uso de llaves de seguridad físicas. «Estas teclas se conectan al puerto USB de su computadora, y algunas están habilitadas para la comunicación de campo cercano (NFC) para facilitar su uso con dispositivos móviles«, explica Leclere. «Un atacante necesitaría no solo conocer su contraseña, sino también tomar posesión física de esta clave para ingresar a su cuenta«.
Leclere señaló que después de exigir el uso de claves de seguridad para los empleados en 2017, Google no ha experimentado ningún ataque de phishing exitoso. «Sin embargo, son tan efectivos que si pierde la única clave que está vinculada a su cuenta, lo más probable es que no pueda recuperar el acceso a ella. Es importante mantener varias claves en lugares seguros«, agregó.
Finalmente, Leclere dijo que además de usar una aplicación de autenticación o una clave de seguridad, un buen administrador de contraseñas facilita la creación de contraseñas seguras sin reutilizarlas en varios sitios. «Una contraseña fuerte y única combinada con 2FA sin SMS es la mejor forma de seguridad de la cuenta«, afirmó.