¿Por qué la verificación de dos factores por medio de SIM es insegura?

February 26, 2020

Academia Monedero

Los métodos de verificación de dos factores (2FA) han sido diseñados para brindar seguridad a los usuarios. Sin embargo, los métodos que involucran la tarjeta SIM pueden presentar vulnerabilidades que aprovechan los ciberdelincuentes. El día de hoy te explicaremos un poco más sobre los sistemas 2FA y por qué Monedero solo utiliza el más seguro de ellos.

Qué es la verificación de dos factores

Repasemos en qué consiste este sistema de seguridad. La verificación de dos factores es un método que se utiliza para confirmar la identidad de un usuario combinando algo que sabe, con algo que tiene o algo que es.

La verificación de dos factores es bastante común en servicios financieros. Se utiliza, por ejemplo, en los cajeros automáticos. Así, los usuarios presentan algo que tienen (la tarjeta de débito) y algo que saben (su PIN) para poder retirar su dinero en efectivo.

La 2FA protege tus credenciales de usuario, te permite iniciar sesión en un nuevo dispositivo, recuperar una contraseña o autorizar una transacción de manera segura. Sin la verificación de dos factores es muy sencillo que un ciberdelincuente acceda a tu cuenta y robe tus fondos.

Por qué la verificación por SMS o SIM es insegura

Las nuevas tecnologías han hecho que los métodos más comunes de 2FA involucren teléfonos celulares. Uno de ellos es el método de verificación de dos factores por medio de SMS. Resulta muy cómodo, porque el usuario combina algo que tiene (su celular) con algo que sabe (el código que se envía por medio de mensaje de texto).

La verificación por medio de correo electrónico es utilizada mayormente para autentificar la identidad de los usuarios ante su proveedor de correo electrónico. Sin embargo, aquí radica su peligrosidad, puesto que el correo electrónico es la puerta de acceso para la mayoría de los servicios en línea que utilizamos.

verificacion-dos-factores-login
Imagen: GotCredit en Pexels

Los ciberdelincuentes aprovechan la vulnerabilidad de la autentificación por medio de SMS para un delito informático llamado “ataque de SIM”.

Aunque un delincuente puede obtener los códigos enviados mediante mensajes de texto tan solo con ver las notificaciones en la pantalla de nuestro teléfono inteligente, hurtando el dispositivo, enviando un troyano que intercepte la información o sacando la tarjeta SIM e instalándola en otro celular, el ataque de SIM va más allá.

Este ataque es posible gracias a que los servicios de telefonía móvil permiten que un cliente solicite en cualquier momento el cambio de su tarjeta SIM a otro dispositivo.

Y aunque es una solicitud que podemos realizar normalmente cuando, por ejemplo, adquirimos un nuevo dispositivo, se trata de una puerta de entrada para los ciberdelincuentes. Así, el atacante se hace pasar por su víctima y solicita el cambio de SIM a un teléfono que él controla.

Cuando el atacante tiene acceso a la SIM, solicita entonces el restablecimiento del correo electrónico de la víctima. El proveedor de servicios de correo electrónico envía un código de verificación al número de teléfono, y es el atacante quien lo recibe, pues tiene el control de la tarjeta SIM.

La autentificación por medio de SMS es muy peligrosa, pero sigue siendo usada comúnmente, lo que ha traído como resultado eventos catastróficos. En 2019, varias fueron las ballenas que resultaron víctimas de un ataque de SIM. Asimismo, a tan solo dos meses de haber iniciado el 2020, un inversionista perdió USD 45 millones en Bitcoin y Bitcoin Cash de esta manera.

Aplicaciones de verificación: la mejor opción

La verificación de dos factores sigue siendo necesaria, aunque se haya demostrado que el método de SMS es inseguro. Por ello, mostramos el método más seguro y versátil para la verificación de dos factores: la verificación por medio de aplicación.

Este es el método que hemos habilitado para ti en Monedero. Se trata de códigos que se generan al momento en una aplicación pequeña y simple que ejecutas en tu teléfono inteligente.

Para generar los códigos, la aplicación y la plataforma donde quieres identificarte utilizan un algoritmo llamado OATH TOTP que se traduce como “contraseña de un solo uso basada en el tiempo”. Con este método, cada 30 segundos se generan códigos de manera sincrónica entre la plataforma y la aplicación.

¿Qué aplicaciones de 2FA existen?

En la tienda de aplicaciones para tu dispositivo móvil podrás encontrar muchas opciones, pero no todas ellas serán totalmente seguras. Lo más recomendable a la hora de elegir cuál aplicación de 2FA utilizar, es que chequees el número de descargas y las opiniones de los demás usuarios.

A continuación, podrás ver una lista de las aplicaciones 2FA más utilizadas y confiables:

Autenticador de Google

Esta aplicación es una de las más utilizadas y es compatible con Android y iOS. Su función es agregar una nueva cuenta –que las aplicaciones llaman “token” – o eliminarla.

Authy

Esta aplicación es compatible con Android, iOS, Windows, macOS y Chrome. Se distingue de las otras aplicaciones de verificación de dos factores porque todos los tokens se almacenan en la nube (encriptados por medio de contraseña), permitiendo que puedas acceder a ellos desde cualquier cuenta.

Duo Mobile

Es compatible con Android y iOS. A diferencia del Autenticador de Google, Duo Mobile mantiene los códigos ocultos, y para verlos el usuario debe tocar cada token.

Autenticador de Microsoft

Es compatible con Android y iOS y cada cuenta se puede configurar por separado para que se oculte o no. Además, permite simplificar el inicio de sesión en cuentas de Microsoft. 

FreeOTP

FreeOTP es compatible con Android y con iOS. Es de código abierto y es una aplicación bastante ligera, que oculta los tokens de forma predeterminada.

Yandex.Key

Es compatible con Android y iOS. Se puede bloquear por medio de PIN o huella dactilar, solo muestra en pantalla el código del último token usado y permite que realices una copia de seguridad de tus tokens, en caso de que quieras cambiar de dispositivo.

¿Cómo habilito la verificación de dos factores por aplicación en Monedero?

Activar la verificación de dos pasos en Monedero es sumamente sencillo. Lo primero que debes hacer es elegir la aplicación de verificación que más te guste e instalarla en tu teléfono inteligente.

Luego deberás abrir tu Monedero y dirigirte a Perfil> Seguridad> Verificación en 2 pasos

Una vez allí verás una pantalla que mostrará un código QR y una serie de caracteres que puedes copiar y pegar.

Puedes escanear este código QR con la aplicación o introducir manualmente los caracteres.

verificacion-de-dos-factores-monedero

Una vez hayas agregado la cuenta de Monedero a la aplicación de verificación, tendrás el 2FA activado.

Lo más importante para nosotros es tu seguridad. Por ello, te aconsejamos que mantengas buenas prácticas al momento de gestionar tu cuenta.

Imagen principal: Silvie Lindemann en Pexels

Artículos Relacionados

Bitcoin faucet: cómo obtener Bitcoin gratis

Bitcoin faucet: cómo obtener Bitcoin gratis

Seguramente has visto en la web numerosas páginas o personas promocionando determinado Bitcoin faucet y no sabes de lo que están hablando. Hoy explicaremos qué es un faucet para bitcoin y cuáles son los más utilizados para que puedas conseguir bitcoin gratis. ¿Qué es...

¿Qué tipos de criptomonedas existen?

¿Qué tipos de criptomonedas existen?

Si eres un usuario inexperto, al ver la gran cantidad de criptomonedas que existen actualmente podrías sentirse abrumado, sin saber por dónde comenzar. Para que esto no te ocurra, hoy te enseñaremos los diferentes tipos de criptomonedas según su función y uso. Bitcoin...

¿Qué puedo comprar con Bitcoin hoy en día?

¿Qué puedo comprar con Bitcoin hoy en día?

Si eres de quienes se preguntan “¿qué puedo comprar con Bitcoin?” has llegado al sitio correcto. Hoy aprenderás qué tipo de bienes y servicios pueden adquirirse con esta criptomoneda alrededor del mundo. Cómo comprar con Bitcoin En el libro blanco de Bitcoin, Satoshi...