Siempre se nos ha explicado que la verificación en dos pasos era el único sistema de seguridad que permitía superar la fragilidad de una simple contraseña asociada a un nombre de inicio de sesión y a su cuenta, aunque hay mejores opciones. El problema es que el segundo paso habitual, el SMS, no es a prueba de hackers.
No hace demasiado tiempo que la aplicación oficial de Facebook, la empresa propietaria de Instagram, presentaba su nuevo proceso de verificación en dos pasos que convertía por primera vez el número de teléfono en opcional. Instagram, ahora, ha confirmado que también abandonará el SMS dos años después de haber introducido el método.
Qué convierte los SMS en inseguros
El año pasado ya hicimos un repaso a las debilidades de los SMS como medida de autentificación. Aunque seguimos insistiendo en que una verificación en dos pasos sigue siendo mucho mejor que una sencilla contraseña a la que se puede acceder con métodos de fuerza bruta, el SMS no es precisamente la opción más segura para este segundo paso.
El proceso que lo convierte en una alternativa desprotegida se llama SIM swap, un intercambio de SIM mediante la cual un hacker es capaz de suplantar un usuario a través de varias técnicas que acaban haciendo que la operadora móvil redirija el número de móvil a otro dispositivo.
A través del phishing, por ejemplo, un atacante puede conseguir suficientes credenciales para convencer a la operadora y, una vez en posesión de un número de teléfono, empezar a controlar todas las cuentas sociales. Con la verificación en dos pasos donde interviene un SMS, pues, las aplicaciones no están completamente protegidas. Y de ahí el cambio que prepara Instagram.
Cómo va a asegurar las cuentas Instagram
Tal como informa TechCrunch, Instagram les ha confirmado recientemente que se trabaja en un nuevo método de autentificación para fortalecer la seguridad de sus cuentas. El descubrimiento, pero, llegó de un modo más habitual: la filtración compartida en Twitter a través del análisis pormenorizado del código de la aplicación. De nuevo, fue Jane Manchun Wong la responsable.
Con las capturas de pantalla extraídas de la APK de Instagram, un representante de la empresa no pudo hacer más que confirmar que, efectivamente, están trabajando en un método de autentificación que se desprenderá de los SMS, cuyos responsables -las operadoras móviles- aún no son capaces de asegurar completamente.
La tecnología sustituta convertirá en opcional la posibilidad de introducir un número de teléfono donde recibir un código como segundo paso de seguridad, pero además añadirá la opción de usar una aplicación autentificadora, como podría ser Google Authenticator o Microsoft Authenticator, entre otras opciones. Si no detecta ninguna instalada, recomendará la solución de Google.
En el pasado, otras aplicaciones de la empresa como Facebook o WhatsApp, incluso Twitter, han introducido cambios similares y ya era hora que se siguiera el mismo camino para Instagram, la red social de moda, cuyo crecimiento es imparable.
Todas aquellas aplicaciones que contengan información personal deberían contar con soluciones de seguridad en dos pasos, si no más, y evitar los SMS en la medida de lo posible ya que se han demostrado ser comprometidos fácilmente.
Esto es especialmente cierto en los casos de apps y servicios que cuentan con información privilegiada. Recordemos que Instagram, por ejemplo, también incluye la posibilidad de añadir información de pago como la tarjeta de crédito.
Vía | TechCrunch
En Xataka Android | Facebook: así funciona la nueva verificación en dos pasos
Ver todos los comentarios en https://www.xatakamovil.com
VER 5 Comentarios