La verificación en dos pasos es una función muy interesante para demostrar que somos nosotros y no otro quién está accediendo a nuestra cuenta de Google, de Facebook, o de lo que sea. Hay varios tipos: mediante un pequeño tokens físicos que generan una clave temporal, mediante una aplicación para móvil o mediante SMS. Este último sistema es el más usado por todos, y, aunque sea mejor que nada, no es el más seguro.
Para entrar en una cuenta sin autentificación en dos pasos necesitaremos un usuario y una contraseña. Para entrar en una cuenta con autentificación en dos pasos, necesitaremos aparte una clave temporal que dura generalmente unos solos minutos. Esto quiere decir que si no tenemos el dispositivo en mano, lo más probable es que esta clave caduque y que tengamos que pedirla de nuevo.
Dejando de lado que podamos tener una aplicación que intercepte el contenido de los mensajes (sobre todo en Android, pues hay un número mayor de aplicaciones malignas), hay muchos métodos para interceptar SMS’s.
El protocolo SS7 (Signalling System No. 7), usado por las redes GSM, es tan inseguro que con los conocimientos necesarios y con el número de teléfono de alguien, se es capaz de geolocalizar a la persona y también de interceptar sus mensajes y sus llamadas. Así lo llevó a cabo en un experimento Karsten Nohl, Doctor en Ingeniería informática de la Universidad de Virginia.
Otro de los métodos usados más comunes es la ingeniería social, mediante la cual podemos hacer en algunos países (muy común, por cierto, en Reino Unido) que los mensajes se redirijan a otro número. Con tan solo dar unos cuantos datos (públicos) es suficiente para realizar casi cualquier gestión telemática. A este método se le conoce como ‘Sim swap‘.
En la banca española, por ejemplo, tan solo es necesario el DNI de una persona (se puede conseguir de forma fácil, en el BOE, por ejemplo), el domicilio (algo más complicado, pero mediante un WHOIS público, si tiene una página web, es muy probable que se encuentre público también) y la oficina en la que ha abierto su cuenta (algo que, aunque no es público, se podría extraer mediante ingeniería social), seríamos capaces de acceder a un código SMS que, junto con el ‘Sim swap‘, serviría para sacar dinero de la cuenta bancaria de la persona durante 24 horas.
Como vemos en How To Geek, Google Authenticator es una gran alternativa. Se elimina el factor SMS y por lo tanto se elimina la posibilidad de que sea interceptado. Ahora los códigos llegan mediante esta aplicación, y tan solo duran unos segundos. Cada vez son más los portales web y las aplicaciones que dejan de usar los SMS y que comienza a usar este tipo de tokens virtuales, que son más seguros.
En los que nos obliguen a usar la autentificación en dos pasos mediante SMS, no obstante, tendremos que seguir usándola, pues no nos queda otro remedio. Como ya sabemos, al menos es más seguro que nada (como dice el dicho popular, menos da una piedra). Lo único que podemos hacer es esperar a que estas aplicaciones cedan y acaben por dejar de usar los SMS.
Fuente: https://www.elespanol.com/
Soluciones y Servicios para procesos empresariales, con la finalidad de ayudar a las empresas a optimizar procesos, basar las decisiones y acciones en información, mejorar la relación con sus clientes, proveedores y colaboradores, con el fin de aumentar la rentabilidad en sus negocios.
Adquiere nuevas experiencias de conectividad orientadas a convertir más eficientes los procesos que impliquen a la red de datos en sus negocios. Contamos con un amplio portafolio de marcas reconocidas en brindar soluciones eficientes de Networking bajo los siguientes criterios
Provisión de soluciones tecnológicas eficientes para espacios de trabajo híbridos (hardware y nube), que permitan a los usuarios de nuestros clientes acceder a sus aplicaciones y datos de forma eficiente, en tiempo real, en cualquier dispositivo, desde cualquier lugar.
Soluciones y Servicios para procesos empresariales, con la finalidad de ayudar a las empresas a optimizar procesos, basar las decisiones y acciones en información, mejorar la relación con sus clientes, proveedores y colaboradores, con el fin de aumentar la rentabilidad en sus negocios.
Brindamos soluciones que agilizan y automatizan los procesos de los negocios, dando como resultado ahorro, personalización, control de calidad e innovación. Logramos experiencias superiores de autoservicio, resolvemos necesidades y simplificamos la interacción con los clientes del sector bancario y retail.
Brindamos insumos tecnológicos de calidad a nuestros partners y desarrollamos planes de financiamiento escalables que les permita enfrentar los desafíos del mercado.
La seguridad integral es una tarea compleja que busca reducir al máximo el riesgo potencial de un ciberataque. Somos expertos y podemos ayudarte.
Brindamos insumos tecnológicos de calidad a nuestros partners y desarrollamos planes de financiamiento escalables que les permita enfrentar los desafíos del mercado.
Somos SFEL, una división de Datec Corp, certificada por Impuestos Nacionales para proveer el servicio de facturación electrónica en línea servicio (SaaS).