Debe utilizar la autenticación de dos factores siempre que esté disponible. No es perfecto, pero detiene a la mayoría de los atacantes en el acto. Pero no se deje engañar pensando que es inexpugnable. No es el caso.
El problema de la contraseña
CONTENIDOS DE LA PAGINA
La contraseña ha sido el medio principal para proteger las cuentas de computadora desde la década de 1950. Setenta y más años después, todos estamos inundados de contraseñas, principalmente para servicios en línea. Por curiosidad, revisé mi administrador de contraseñas. Tengo 220 conjuntos de credenciales de inicio de sesión almacenadas en él.
A menos que tenga un talento especial, es imposible memorizar esa cantidad de contraseñas complejas y seguras. Es por eso que la gente reutiliza contraseñas y usa contraseñas débiles pero fáciles de recordar. Por supuesto, este es el tipo de comportamiento que pone sus cuentas en peligro de verse comprometidas.
Los ataques de fuerza bruta automatizados, los ataques de diccionario y otros ataques de búsqueda utilizan listas de palabras y bases de datos de contraseñas pirateadas para intentar obtener acceso no autorizado a las cuentas de las personas. Siempre que se produce una violación de datos, los datos se ponen a disposición en la web oscura para que los usen los ciberdelincuentes. Usan bases de datos de contraseñas pirateadas como munición para su software. Introduzca las credenciales robadas en las cuentas, tratando de hacer coincidir las contraseñas y obtener acceso.
El sitio web Have I Been Pwned recopila datos de tantas violaciones de datos como sea posible. Puede visitar libremente el sitio para verificar si su dirección de correo electrónico o alguna de sus contraseñas han sido expuestas en violación. Para darle una idea de la escala del problema, hay más allá 11 mil millones conjuntos de credenciales en sus bases de datos.
Con tantas contraseñas, existe una gran posibilidad de que alguien más haya elegido la misma contraseña que usted. Entonces, incluso si ninguno de sus datos ha sido expuesto en una violación, los datos de otra persona, que usó la misma contraseña que usted, pueden haberlo hecho. Y si ha usado la misma contraseña en muchas cuentas diferentes, eso las pone a todas en riesgo.
RELACIONADOS: ¿Cómo comprobar si los correos electrónicos del personal infringen los datos?
Políticas de contraseña
Todas las organizaciones deben tener una política de contraseñas que proporcione orientación sobre la creación y el uso de contraseñas. Por ejemplo, se debe definir la longitud mínima de una contraseña y se deben establecer claramente las reglas para redactar una contraseña para que todo el personal pueda comprenderlas y seguirlas. Su política debe prohibir la reutilización de contraseñas en otras cuentas y basar las contraseñas en nombres de mascotas o familiares, aniversarios y cumpleaños.
El problema que tienes es ¿cómo lo controlas? ¿Cómo saber si el personal está siguiendo estas reglas? Puede establecer reglas de complejidad mínima en muchos sistemas para rechazar automáticamente las contraseñas que son demasiado cortas, que no contienen números ni símbolos, o que son palabras de diccionario. Esto ayuda. Pero, ¿qué pasa si alguien usa la contraseña de una de sus cuentas corporativas como contraseña de Amazon o Twitter? No tienes forma de saberlo.
El uso de la autenticación de dos factores mejora la seguridad de sus cuentas comerciales y también brinda cierta protección contra la mala administración de contraseñas.
RELACIONADOS: El problema con las contraseñas son las personas.
Autenticación de dos factores
La autenticación de dos factores agrega una capa adicional de protección a las cuentas protegidas por contraseña. Junto con su identificación y contraseña, debe tener acceso a un artículo físico registrado. Estos son dongles de hardware o teléfonos inteligentes que ejecutan una aplicación de autenticación aprobada.
La aplicación de autenticación del teléfono inteligente genera un código de un solo uso. Debe ingresar ese código junto con su contraseña al iniciar sesión en la cuenta. Los dongles se pueden conectar a un puerto USB o pueden usar Bluetooth. Muestran un código o generan y transmiten una clave basada en un valor interno secreto.
La autenticación de dos factores combina lo que sabe (sus credenciales) con algo que tiene (su teléfono inteligente o dongle). Entonces, incluso si alguien adivina o fuerza bruscamente su contraseña, aún no puede acceder a su cuenta.
RELACIONADOS: La autenticación de dos factores por SMS no es perfecta, pero aún debe usarla
Comprometer la autenticación de dos factores
Hay varias formas en que un atacante puede eludir la autenticación de dos factores y obtener acceso a una cuenta segura. Algunas de estas técnicas requieren habilidades técnicas de élite y recursos significativos. Por ejemplo, los ataques que aprovechan las vulnerabilidades en el protocolo del Sistema de señalización N. ° 7 (SS7) suelen ser realizados por grupos de hackers bien equipados y altamente capacitados o atacantes patrocinados por el estado. SS7 se utiliza para establecer y desconectar comunicaciones basadas en telefonía, incluidos los mensajes de texto SMS.
Para atraer la atención de este calibre de actores de amenazas, los objetivos deben ser del más alto valor. «Alto valor» significa cosas diferentes para diferentes atacantes. La recompensa puede no ser económica, el ataque puede tener motivaciones políticas, por ejemplo, o ser parte de una campaña de espionaje industrial.
En una «estafa de port out», los ciberdelincuentes se comunican con su operador de telefonía móvil y se hacen pasar por usted. Los actores de amenazas con suficiente experiencia pueden convencer al representante de que son dueños de su cuenta. Luego, pueden transferir su número de teléfono inteligente a otro teléfono inteligente al que tengan acceso. Todas las comunicaciones basadas en SMS se envían a su teléfono inteligente, no al suyo. Esto significa que todos los códigos de autenticación de dos factores basados en SMS se entregan a los ciberdelincuentes.
El uso de técnicas de ingeniería social para influir en los empleados de los operadores móviles no es sencillo. Un método más simple es utilizar un servicio de mensajería de texto comercial en línea. Las organizaciones los utilizan para enviar recordatorios por SMS, alertas de cuentas y campañas de marketing. También son muy baratos. Por alrededor de $ 15, puede encontrar un servicio que reenviará todo el tráfico de SMS de un número de teléfono inteligente a otro durante un mes.
Por supuesto, debe tener ambos teléfonos inteligentes o tener el permiso del propietario, pero eso no es un problema para los ciberdelincuentes. Cuando se les pregunta si es así, todo lo que tienen que hacer es decir «sí». No hay más verificación que esa. Cero habilidades requeridas por los atacantes, pero su teléfono inteligente está comprometido.
Todos estos tipos de ataques se centran en la autenticación de dos factores basada en SMS. Hay ataques que eluden con la misma facilidad la autenticación de dos factores basada en aplicaciones. Los actores de amenazas pueden ejecutar una campaña de phishing por correo electrónico o utilizar la typosquatting para dirigir a las personas a una página de inicio de sesión atractiva pero fraudulenta.
Cuando una víctima intenta iniciar sesión, se le solicita una identificación y contraseña y un código de autenticación de dos factores. Tan pronto como ingresan el código de autenticación, estas credenciales se envían automáticamente a la página de inicio de sesión del sitio web auténtico y se utilizan para iniciar sesión en la cuenta de la víctima.
¡No dejes de usarlo!
La autenticación de dos factores puede superarse mediante una serie de técnicas que van desde las técnicamente exigentes hasta las relativamente sencillas. A pesar de esto, la autenticación de dos factores sigue siendo una medida de seguridad recomendada y debe adoptarse donde sea que se ofrezca. Incluso con estos ataques, la autenticación de dos factores es un orden de magnitud más segura que un esquema simple de identificación y contraseña.
Es poco probable que los ciberdelincuentes intenten eludir su autenticación de dos factores a menos que usted sea un objetivo de alto valor, alto perfil o estratégico. Así que siga usando la autenticación de dos factores, es mucho más seguro que no usarla.
