El SMS es un sistema de verificación que usan multitud de aplicaciones, ya sea como principal -Whatsapp o Telegram- o como secundario, como muchos sistemas de correo o incluso algunos bancos para confirmar un pago on line. Durante los últimos años ha sido un complemento de seguridad que se aseguraba que nadie más que tú pudiera entrar en tu correo. Ahora, la doble verificación por SMS puede ser prohibida.
El Instituto de Estándares y Tecnología de EEUU está preparando el primer borrador de la Guía de Autenticación Digital, una norma a la que será recomendable que se ajuste todo el software a partir de ahora, y en él se considera que este sistema es inseguro. Para demostrarlo, en el documento se mencionan casos tales como que el teléfono podría no ser ya propiedad del usuario o el SMS podría ser “robado” mediante un servicio VoIP.
Todo esto se refiere únicamente a la doble verificación por SMS, y los otros muchos sistemas de doble verificación que existen ahora mismo seguirían siendo válidos, incluyendo tanto aquellos que cuenten con verificación biométrica como los que usen un sensor de huellas dactilares.
Gmail, por ejemplo, ya se aleja de la doble verificación por SMS
Actualmente, prácticamente todos los servicios on line ofrecen la doble verificación por SMS, incluyendo Gmail, Facebook o Twitter. Algunos como Google ya han comenzado a probar nuevos sistemas que les alejen del vetusto mensaje. Desde hace un mes, Google permite activar un sistema que al tratar de entrar en tu cuenta hace que tengas que verificarlo desde el teléfono, pero para hacerlo deberás confirmar el inicio a través de una notificación, y no mediante un mensaje SMS.
Google ahora permite verificar el inicio de sesión desde el móvil, sin SMS de por medio
El nuevo sistema de verificación de Google está integrado en Android y te pregunta a través de una notificación si estás tratando de acceder.
El nuevo sistema de verificación de Google está integrado en Android y te pregunta a través de una notificación si estás tratando de acceder.
El sistema tampoco es del todo perfecto. Igual que el SMS, el teléfono puede no estar en tu poder, y si lo has perdido puede complicarte mucho la vida al dejarte potencialmente sin acceso a tu cuenta de Google temporalmente. Otros servicios, como Yahoo, han optado por eliminar directamente la contraseña.
Whatsapp: el SMS sigue siendo su talón de Aquiles
Pero en una situación peor quedan aquellos servicios que recurren al SMS como forma de verificación principal, y sí, estamos pensando en Whatsapp (y también Telegram). Para entrar por primera vez en estas aplicaciones debes introducir tu número de teléfono, y los servidores de las aplicaicones te envían un código que hay que después hay que confirmar (o se introduce automáticamente si das acceso a los SMS) para poder entrar en la cuenta.
Sin embargo, este sistema se ha demostrado inseguro. La reina de la mensajería instantánea ha hecho enormes esfuerzos por mejorar su seguridad con la introducción del cifrado de extremo a extremo, sin embargo, precisamente la verificación a través de SMS se ha demostrado como un punto débil a través del que se puede acceder a las conversaciones de una persona.
Parece que, aun con todo, sigue siendo posible espiar el WhatsApp
Un estudio de seguridad ha revelado que espiar el WhatsApp no es tan difícil como se creía, incluso con la última actualización de la encriptación.
Un estudio de seguridad ha revelado que espiar el WhatsApp no es tan difícil como se creía, incluso con la última actualización de la encriptación.
Con la inminente recomendación de abandonar el uso de la autenticación por SMS por parte de un organismo con bastante peso en Estados Unidos habrá que ver cómo reinventan las aplicaciones la forma de verificar nuestra identidad. Lo que es evidente es que la verificación por SMS ya no es una forma tan segura de acreditar nuestra identidad -y lo que es peor, hay bancos que la usan para confirmar pagos-. Veremos cómo responden las grandes compañías a este movimiento.
Tu operadora móvil: la próxima entrada de amenazas en Android
Los atacantes han descubierto una nueva forma de atacar nuestros dispositivos: utilizar las operadoras para llegar a nuestros teléfonos.
Los atacantes han descubierto una nueva forma de atacar nuestros dispositivos: utilizar las operadoras para llegar a nuestros teléfonos.
Vía: Cnet | Softpedia.com
La entrada La doble verificación por SMS tiene los días contados aparece primero en El Androide Libre.
Continúar leyendo...