Por qué debería dejar de usar SMS para la autenticación de dos factores.
El 16 de agosto de este año, el gigante de las telecomunicaciones T-Mobile anunció que estaba investigando una brecha de seguridad que supuestamente expuso datos confidenciales de sus clientes. En un comunicado emitido el mismo día, la empresa confirmó el “acceso no autorizado” a sus datos, aunque no había determinado si había involucrados datos personales de clientes.
La brecha de seguridad salió a la luz por primera vez cuando un usuario de Twitter publico detalles de la información filtrada. En otro hilo en un foro de ciberdelincuencia, otro usuario anunció la puesta en venta de más de 100 millones de registros “recién filtrados” de T-Mobile. En este foro del inframundo, el vendedor afirmaba tener PII como el nombre, la fecha de nacimiento, el SSN, la información de la licencia de conducir, el PIN de seguridad, la dirección y el número de teléfono de más 36 millones de clientes de la Telco.
Las alarmas se activan con mayor severidad porque también se deja ver que en la violación también se filtró información de IMEI e IMSI, los números de identificación asociados con un teléfono móvil, elementos que comprometen la seguridad en la autenticación de dos factores basada en SMS.
Ampliar en este punto que, el IMSI es el identificador único de la tarjeta SIM de un teléfono móvil. Ya les habíamos platicado de como capturar el IMSI y sobre el uso de sistemas de interceptación de IMSI, en artículos previos. Notese que no son articulo recientes, uno es noviembre del año 2018 y el otro de febrero del 2020.
Un ciberdelincuente puede usar datos IMSI robados en filtraciones como la de T-Mobile o mediante la captura o interceptación de los mismos, para duplicar la tarjeta SIM de alguien y obtener acceso a su número de teléfono. Una vez gemeleado el IMSI, el actor malicioso puede solicitar que se envíe un código de acceso único al número de teléfono (OTP), pueden ingresar a las cuentas de sus víctimas, transferir dinero de sus cuentas bancarias e incluso bloquearlas por completo.
A ver como lo explicamos mejor… Si alguna vez recibió un mensaje de texto con un código de acceso de un solo uso (OTP), para iniciar sesión en su red social, banco, correo u otro servicio en línea; usted ha utilizado la autenticación de 2 factores basada en SMS, o 2FA para abreviar.
Es común que muchas organizaciones financieras, de atención médica y del gobierno utilicen 2FA basado en SMS como una capa adicional de seguridad, para evitar el acceso no autorizado con solo un nombre de usuario y contraseña.
Correlacionado el evento de T-Mobile o el uso de IMSI Catcher con la técnica de autenticación de 2 factores basada en SMS, parece que esta forma de autenticación no es tan segura como nos imaginamos.
De hecho, se ha solicitado dejar de usar SMS 2FA durante años, citando la creciente tendencia de los ataques de intercambio de SIM (SIM Swapping), que permiten a los ciberdelincuentes leer cualquiera de los mensajes SMS de sus víctimas, incluidos aquellos con códigos de acceso de un solo uso.
A medida que los métodos de ataque se vuelven más sofisticados, los ciber delincuentes han descubierto varias formas de eludir 2FA cuando el método de autenticación consiste en códigos únicos enviados como un mensaje SMS. Ósea, hay muchas formas aterradoras de engañar fácilmente a un usuario para que descargue malware en su dispositivo o realicen un fraude de intercambio de SIM (SIM Swapping), diseñado socialmente.
También habíamos platicado en otro artículo de vulnerabilidades en GPT y protocolo SS7 para el secuestro de SMS, interceptación de llamadas y datos en ataques SS7. Los ciberdelincuentes utilizan aplicaciones de duplicación de SIM económicas, para monitorear la actividad de SMS y obtener códigos de autenticación de SMS sin que los usuarios lo sepan.
Un caso real, para este análisis fue el ataque a Coinbase, el cual involucró varias técnicas para superar la autenticación SIM vía SMS por 2FA y vaciar las cuentas de 6,000 consumidores.
Aquellos que sincronizan mensajes SMS con otros dispositivos como tabletas y computadoras portátiles, también aumentan sus riesgos si un dispositivo es robado por un ciberdelincuente el cual podría acceder fácilmente a los códigos. Con estos dispositivos sustraídos, los ciberdelincuentes intentarán forzar las solicitudes de inicio de sesión a servicios populares y redirigir los códigos de verificación 2FA a los teléfonos o dispositivos inteligentes secuestrados.
La autenticación de 2 factores basada en SMS es popular debido a su conveniencia dado que los usuarios no necesitan descargar otra aplicación y pueden recibir mensajes de texto en cualquier tipo de dispositivo móvil. La conveniencia de los mensajes SMS reduce la seguridad, por lo que recomiendo usar alguna aplicación de autenticación, como Microsoft Authenticator, Authy o Google Authenticator, entre otras; para la autenticación de 2 factores.
