Javier Pastor
533 millones de usuarioshan quedado “desnudos”. La última y escandalosa filtración de datos de usuarios de Facebook es la enésima demostración de cómo una empresa negligentepone en riesgo no ya nuestra privacidad, sino nuestra seguridad e incluso nuestros ahorros.
Los datos filtrados exponen ahora a millones de usuarios a ser víctimas de ataques de suplantación de identidad y otros ciberataques dirigidos. El peligro es enorme, y este nuevo descalabro de Facebook es la última advertencia de un tema delicado:el SMS no es un buen método de autenticación en dos pasos.
Ten miedo. Mucho miedo.
Nuestra dependencia del mundo digital es cada vez mayor, y aunque las ventajas de la revolución móvil son evidentes,también dejan efectos colaterales nada agradables.
Hasta no hace mucho parecía bastar con una protección de un único paso (usuario/contraseña), perolos robos masivos de contraseñas y malas prácticaspor parte de los usuarios (usar yreutilizar ‘123456’como contraseña es una idea atroz) hicieron que los métodos de autenticación en dos pasos (2FA) fueran mucho más recomendables a la hora de proteger cuentas en todo tipo de servicios.
Ya no valía solo con meter usuario y contraseña. Ahora también necesitabas verificar tu identidad con una clave de paso, normalmente un PIN quete llegaba a través de un mensaje SMS al móvil.
La idea era fantásica… o lo parecía. Solo nosotros estamos (teóricamente) en poder de nuestro móvil, así que ese PINsolo nos podía llegar a nosotros, ¿no?
No.
En filtraciones como las que han ocurrido con Facebook, los datos ya no son tan solo listas de correos electrónicos y de contraseñas asociadas. En esos datosvienen nombres completos, números de teléfono móvil—igualquieres borrarlo—, pero también el sexo y la ubicación de esos usuarios. La amenaza que plantean esos datos es absolutamente enorme.
La respuesta de Facebook al robo ha sido asombrosa, porquesu filosofía es la de la inacción.No tienen planes para notificar a los usuarios afectados, que aún así pueden saber si forman parte de la filtracióngracias al reputado servicio HaveIBeenPwned. Un reciente cambio en este serviciopermiteno solo saber si nuestro correo electrónico se ha filtrado, sino también si lo ha hecho nuestro número móvil y el resto de datos asociados a esos parámetros.
¿Qué pueden hacer “los malos” con los datos filtrados por Facebook?
Lo es porque todos esos datos le dan a ciberdelincuentes una oportunidad de oro para hacer todo tipo de ataques dirigidos,tanto de phishing(con correos que alguien que conocemos nos manda, “oye, ahora sí que puedo fiarme”)como de suplantación de identidad.
No es difícil imaginar que esos datos puedan servir para que un delincuente logre suplantar nuestra identidad ylograr por ejemplo un duplicado de nuestra tarjeta SIM. Elinquietante SIM swappingestá a la orden del día, y si somos víctimas de un ataque así estaremos en un verdadero aprieto, porque de repente nuestro móvil dejará de funcionar y el atacante aprovechará para poder hacer todo tipo de operaciones usando ese móvil.
Será él quien reciba el PIN para hacer esa transferencia bancaria o completar esa compra en Amazon, no tú,pero serás tú quien pague el pato(y la factura).
Las peligrosas ramificaciones de un robo de datos como este son insondables, y pueden llevar también aotros ataques de ingeniería socialque permitan a otras personas recolectar aún más datos nuestros o convencernos para queles mandemos nuestro DNI(ni se os ocurra), y de nuevo las consecuencias de esos despistes pueden ser fatales.
Hay que decir adiós SMS como método de autenticación en dos pasos
Soy un poco pesado con esto. Lo dijehace cinco añosy lo repetíal año siguiente. Proteger tus cuentas con autenticación en dos pasos es una gran idea,pero hacerlo con SMS no lo es tanto.
Es ciertolos SMS son mejor que nada. De verdad que lo es. El problema es que este último desastre que hemos visto en Facebook pone de relieve que esos números de móvil ya no están tan seguros (algo queya sabíamos hace tiempo), y quehay alternativas mucho mejoresa la hora de implementar sistemas 2FA.
¿Cuáles? Para empezar, lasaplicaciones móviles específicaspara este propósito. Hay varias populares —Google Authenticator, Microsoft Authenticator, Authy…—, pero a ellas se suman otros métodos aún más seguros como los dispositivos físicos de autenticación, que a menudo se presentan en forma de “llaves USB”.
Expertos en ciberseguridad e inclusoorganizaciones como Amnistía Internacionalrecomiendan estos ‘tokens físicos’. Los más célebresson probablemente las de Yubikey, pero hay otras muchas alternativas, incluidaslas Titan que Google desarrolló hace tiempo.
Las soluciones están ahí, pero la industria sigue anclada en el SMS
Sabemos cuál es el problema y sabemos que hay soluciones para (al menos) aliviarlo, así que,¿qué pasa?¿Por qué este tipo de alternativas no logran cuajar en el mercado?
En primer lugar,por la condena de la comodidad y la conveniencia. Los SMS son ya un viejo conocido que favorece la accesibilidad a estos sistemas de autenticación en dos pasos. Esta tecnología forma parte de nuestros móviles, el usuario no tiene que hacer nada para aprovecharla y además, la conoce y confía en ella (aunque quizás no debería hacerlo tanto).
Utilizar métodos más seguros como los citados requiere un cambio y un esfuerzo,algo que a los seres humanos no nos hace mucha gracia. Da igual que el beneficio sea claro: somos resistentes al cambio, y eso de tener que instalar una aplicación móvil nueva e ir usándola en nuestros dispositivos “con lo bien que estábamos con los SMS” se hace difícil.
Pero en realidadel verdadero problema es de la industria, que sigue absolutamente anclada en los SMS. Salvo en el caso de ciertos servicios específicos, hay numerosos escenarios en los que el soporte de apps como Google Authenticator (no digamos ya de llaves de seguridad tipo Yubikey) son un anatema para las empresas.
El ejemplo más claro y delicado son los bancos:os deseo suerte a la hora de intentar encontrar uno que funcionecon alguna de las alternativas mencionadas, porque (al menos que yo sepa) no lo hay.Sabenque existen este tipo de sistemas, pero de ahí a implementarlos media un mundo.
Las grandes de la tecnología son las que poco a pococomienzan a integrar estos sistemas en sus servicios. El ProyectoFIDO2/WebAuthnde laFIDO Alliancey elprotocolo U2F(Universal 2nd Factor) que potencian soluciones como las que ofrece Yubikey van poco a poco soportándose enmás y más servicios, y aunque muchos son interesantes por su potencial papel como intermediarios de una expansión masiva de estas tecnologías, lo cierto es que el SMS manda de momento en nuestro mundo.
Tened cuidado ahí fuera.
