Por qué la autentificación de dos factores no es siempre totalmente segura

En 15 minutos, puede perder su servicio telefónico, su identidad y su dinero. Todo lo que se necesita es una autenticación insegura de dos factores y un error humano.

La autenticación de dos factores es un método adicional de seguridad que se utiliza para complementar las credenciales de inicio de sesión en los sitios web que la tienen habilitada. Requiere que confirme que está iniciando sesión con un dispositivo físico que sólo usted tiene, por ejemplo, un dispositivo móvil y a través de un SMS o una aplicación.

La mayoría de la gente parece estar de acuerdo en que es increíblemente seguro y nadie lo cuestiona.

Hay casos en los que no es la estrategia de seguridad a prueba de balas que todos pensamos y es en los casos de autenticación de dos factores habilitados para SMS.

Hoy compartiré más detalles sobre la autenticación de dos factores, los posibles riesgos de seguridad con los SMS y cómo puedes protegerte de ser pirateado.

¿Qué es la autenticación de dos factores?

Normalmente, cuando se entra en un sitio web, sólo se requiere que se introduzca el nombre de usuario y la contraseña para acceder con éxito. Si bien esto es generalmente seguro si utiliza credenciales de inicio de sesión sólidas, existen riesgos potenciales.

Por ejemplo, si sus credenciales de inicio de sesión se ven comprometidas debido a un ataque como el de phishing u otros intentos de piratería con éxito, su contraseña podría ser aprendida por un hacker y éste podría acceder a su sitio web.

Si no usas una contraseña fuerte, un hacker podría adivinar tu contraseña para entrar. Esto se conoce como un ataque de fuerza bruta.

Para más detalles, consulta A Complete Guide to WordPress Password Security y The Ultimate Guide to WordPress Spam.

La autenticación de dos factores es un nivel de seguridad adicional conocido como autenticación de múltiples factores. Añade un paso extra al proceso de inicio de sesión. En lugar de sólo tener que introducir su nombre de usuario y contraseña para iniciar sesión en un sitio web, con la autenticación de dos factores activada, también necesita confirmar su identidad en un paso adicional.

Hay múltiples formas de confirmar su identidad con una autenticación de dos factores:

  • Una aplicación en su dispositivo móvil
  • SMS usando tu teléfono móvil
  • Una ficha de seguridad (larga cadena de letras y números aleatorios) que se copia físicamente por adelantado
  • Una unidad USB codificada
  • Llavero
  • Una tarjeta física que es leída por un lector de tarjetas
Leer
El último, amigos

Naturalmente, la autenticación de dos factores en línea consiste en usar una aplicación, un SMS, un token de seguridad o una unidad USB.

Si instaló y activó el Defender en su sitio de WordPress y necesita la aplicación Google Authenticator en su iPhone o dispositivo Android para iniciar sesión con éxito, entonces ha encontrado una autenticación de dos factores.

Para más detalles, mira ¿Qué es 2FA? y Defender: Ahora con Autenticación de Dos Factores

Por qué puede necesitarlo

La autenticación de dos factores añade una capa extra de seguridad a tu sitio de WordPress, cuando está activada.

Con cerca de 30.000 sitios web que son hackeados cada día y más de 90.978 de sitios de WordPress de todos los tamaños que son atacados cada minuto, tiene sentido añadir una capa extra de seguridad.

Es importante habilitar la autenticación de dos factores, pero también comprender los posibles riesgos.

Cuando la autentificación de dos factores no es segura

En la mayoría de los casos, la autenticación de dos factores para los sitios de WordPress es segura y se recomienda utilizar esta opción tanto para su cuenta como para las de otros usuarios.

Dicho esto, es posible que la autenticación multifactorial con SMS no siempre sea segura. Aunque, tiene más que ver con el error humano, pero no por su parte. Ahí es donde las cosas se ponen un poco peliagudas.

Una persona llamada Justin Williams entró en Twitter, sorprendida, para informar al público sobre un evento en el que falló la autenticación de dos factores a través de un SMS:

Alguien hizo la ingeniería social de AT&T para conseguir una nueva SIM para mi teléfono, se registró en mi Paypal (usando 2FA) y retiró un montón de dinero.

Estoy lívido

– Justin Williams (@justin) 7 de julio de 2017

Más tarde, se publicó una entrada en el blog detallando el evento completo.

TLDR;

  1. Se dieron cuenta de que su teléfono celular no tenía servicio.
  2. Recibieron un correo electrónico legítimo de Google para restablecer la contraseña.
  3. Luego, recibieron un correo electrónico legítimo de PayPal notificando sobre un retiro de su banco
  4. Se hizo una llamada a su proveedor de telefonía celular y verificaron su nombre, dirección y clave de seguridad.
  5. El proveedor de telefonía celular observó que se hicieron varios intentos de recibir una nueva tarjeta SIM, pero la persona fue rechazada por no proporcionar la clave de seguridad.
  6. Desafortunadamente, en uno de esos intentos de teléfono, el agente no pidió una clave de seguridad y el hacker pudo hacer que se emitiera una nueva tarjeta SIM.
  7. Como PayPal sólo requiere una dirección de correo electrónico y un SMS para restablecer la contraseña, el hacker pudo entrar en su cuenta de PayPal una vez que se hizo con la nueva tarjeta SIM.
Leer
Cómo hice mi sitio de WordPress 1311% más rápido con Cloudways y plugins WPMU DEV

Al final, el hacker tardó varias horas en encontrar a un agente de atención al cliente que no seguía el protocolo y pedirle una clave de seguridad.

Pero aquí está la sorpresa: una vez que el hacker se comunicó con un agente que rompió el protocolo, sólo tomó unos 15 minutos para comprometer el teléfono celular y robar el dinero de la cuenta bancaria de la víctima.

Conclusión: el hacker tuvo éxito porque la autenticación de dos factores en los SMS no era suficiente cuando el proveedor de telefonía móvil no seguía los protocolos básicos de seguridad.

Los posibles riesgos de seguridad

¿Eso significa que la autentificación de dos factores o al menos el tipo de SMS no es seguro?

No, en absoluto. Lo que significa es que existe la posibilidad de que el SMS y otras autenticaciones multifactoriales se vuelvan ineficaces cuando el error humano sea un factor.

Hay muchas formas en que la autenticación de dos factores puede ser inadecuada:

    • Como se mencionó anteriormente, su proveedor de telefonía celular rompe las medidas de seguridad
    • No se le da un código de seguridad fuerte a su proveedor de telefonía celular
    • No se eligen contraseñas fuertes
    • Sus contraseñas se almacenan de forma insegura
    • Su teléfono u otros dispositivos móviles son robados
    • No mantienes tu teléfono u otros dispositivos móviles bien cerrados
    • Su ordenador o portátil es robado
    • Eres presa de ataques de phishing por correo electrónico o por teléfono
    • Publicas un tweet anunciando que tienes criptocorrientes que atraen mucha atención

Desafortunadamente, hay muchas formas en que el error humano puede convertirse en algo demasiado real, por lo que es importante tomar tantas medidas como sea posible para garantizar la seguridad.

Cómo mantenerse a salvo

Afortunadamente, hay varias maneras de protegerse y asegurar su sitio web de WordPress, su identidad y mantener la autenticación de dos factores efectiva:

        • Dale a tu proveedor de telefonía móvil una clave de seguridad y si llamas personalmente y no te la piden, menciónala.
        • Usa y aplica contraseñas fuertes en tu sitio web de WordPress.
        • Utiliza diferentes contraseñas fuertes para cada uno de tus sitios web de WordPress (y otros).
        • Instalar y configurar el Defender.
        • Habilitar la autenticación de dos factores para todos o el mayor número posible de usuarios de su sitio.
        • No uses y deshabilites la autenticación de dos factores del SMS.
        • Utiliza un candado seguro en tus dispositivos móviles y en tu ordenador.
        • No guardes todas tus contraseñas en tu navegador, o
        • Utilice un servicio de almacenamiento seguro de contraseñas.
        • Almacene las fichas de seguridad física en múltiples lugares seguros.
        • Esté atento a las notificaciones legítimas de restablecimiento de contraseñas o de transferencias de PayPal por correo electrónico o SMS.
        • Esté al tanto de las estafas de phishing y de cómo puede detectarlas y evitar ser víctima de ellas.
        • No publique información personal o identificable públicamente en Internet, sin importar cuán inocente parezca, incluyendo que tenga fondos disponibles en PayPal o en otro lugar, cuando se vaya de vacaciones, su número de teléfono, dirección de correo electrónico y otros detalles similares.
        • Mantén tu ordenador y tus dispositivos móviles en un lugar seguro y vigílalos cuando estés en público. También asegúrese de que nadie mire por encima de sus hombros cuando esté en cualquiera de sus dispositivos.
Leer
¿Debería tener comentarios en su sitio?

Es importante señalar que si utiliza un navegador que guarda todas sus contraseñas y le roban el ordenador, todas sus contraseñas podrían verse comprometidas de esa manera. Por lo tanto, considere la posibilidad de eliminar todas sus contraseñas guardadas actualmente, activar la autenticación de dos factores para cada sitio web que la proporcione o utilizar un servicio de almacenamiento de contraseñas seguro.

También puede ser útil tener un servicio de copia de seguridad programada para tu sitio y tu computadora de WordPress para que no pierdas todos tus archivos si tu sitio web es hackeado o tu computadora es robada. Cifrar tus archivos también resulta beneficioso en estos casos.

Aunque muchos de estos pasos pueden parecer obvios, puede ser fácil que incluso las personas más seguras olviden o tengan una falsa sensación de seguridad a veces. Tampoco hay que subestimar a los hackers, ya que hay una ganancia financiera en juego para ellos.

Para más detalles, mira la Guía definitiva de la seguridad de WordPress y la Guía definitiva del spam de WordPress.

Envolviendo

Puede ser demasiado fácil asumir que tienes todas tus medidas de seguridad envueltas en un pequeño y limpio lazo, pero a veces sólo puede tomar 15 minutos para demostrar lo equivocado que estás con consecuencias desafortunadas.

Aunque la autenticación de dos factores es generalmente segura, no siempre se debe asumir que es la forma perfecta de seguridad porque el error humano puede hacerla totalmente ineficaz.

Ya sea que pierdas 200 dólares de tu cuenta de PayPal o 8.000 dólares en bitcoin, las consecuencias de volverse complaciente son terribles.

Por eso es importante mantener las medidas de seguridad y los pasos descritos anteriormente deberían servir para un excelente comienzo.

1,6 millones de superhéroes de WordPress leen y confían en nuestro blog. Únete a ellos y recibe entradas diarias en tu bandeja de entrada – ¡gratis!

Etiquetas:

  • seguridad
  • SMS
  • autenticación de dos factores

Deja una respuesta