Cómo protegerse contra la debilidad de seguridad móvil de los SMS

Muchos bancos y sistemas de TI corporativos obligan a los usuarios a utilizar contraseñas de un solo uso por SMS para proteger sus cuentas, pero la mayoría de los usuarios pueden eludirlas fácilmente.

Imagínese hacer un viaje al gimnasio o a la piscina. Antes de dirigirse a su actividad, guarda sus objetos de valor en un casillero, lo que significa que su teléfono y su billetera están juntos. Dado que los proveedores bancarios a menudo envían mensajes de texto SMS a su teléfono para aprobar transacciones sospechosas, si alguien pudiera ingresar al casillero y acceder a sus tarjetas y a su teléfono (sin pasar por el PIN de su teléfono), entonces seguramente podría para eludir cualquier medida de seguridad en torno a transacciones sospechosas.

Este fue el destino que enfrentó Charlotte Morgan, quien informó en un hilo de X (antes Twitter) que un ladrón sorteó las cerraduras de su casillero del gimnasio y evitó la seguridad de su teléfono para robar dinero de su cuenta bancaria e irse de compras por un valor de £5.000 (US$6.269). Charlotte dijo que todos sus PIN, códigos de acceso y contraseñas eran diferentes.

A menudo se afirma en las comunidades de seguridad que “con el acceso físico el juego se acabó”, debido a la gran cantidad de poder que tiene un atacante si controla su dispositivo, pero en realidad, existen medidas tangibles que las personas pueden tomar para protegerse de ser víctimas de tales ataques.

Muchas cuentas personales y corporativas a menudo utilizan mensajes de texto SMS para entregar contraseñas de un solo uso para agregar una capa adicional de seguridad antes de que alguien pueda iniciar sesión en una cuenta en línea, hablar con un representante de atención al cliente (por ejemplo, mediante banca telefónica) o incluso inscribirse en aplicaciones de banca móvil (las aplicaciones bancarias modernas incluso muestran el número PIN de su tarjeta en la propia interfaz de usuario de la aplicación).

Si bien las contraseñas de un solo uso por SMS no son ideales (por ejemplo, si alguien pudiera interceptar el mensaje, podría obtener el código), la alternativa es usar aplicaciones de autenticación de dos factores (2FA) o tokens de hardware, que muchos proveedores no utilizan. Úselo como predeterminado para reducir la fricción del usuario.

Es posible que ahora esté pensando que los datos biométricos (huellas dactilares o reconocimiento facial) o el número PIN de teléfono de alguien impedirán que un actor malintencionado tenga acceso a sus mensajes de texto. De hecho, las medidas de refuerzo de seguridad en los dispositivos de un usuario generalmente se centran en garantizar que el software que se ejecuta en el teléfono esté actualizado y libre de malware que pueda robar datos. Personalmente, uso aplicaciones como iVerify para estar al tanto de la seguridad de mi móvil; sin embargo, la mayoría de los usuarios pueden eludir fácilmente estas medidas cuando se trata de contraseñas de un solo uso por SMS.

Simplemente quitando la tarjeta SIM de su teléfono y colocándola en otro teléfono, podrá recibir cualquier mensaje SMS 2FA enviado a ese número de teléfono sin necesidad de desbloquear el teléfono. Ese teléfono tomará el número de teléfono del teléfono anterior.

Aquellos de ustedes que lean esto, pueden tomar medidas para protegerse a sí mismos y a su organización si están en condiciones de brindar consejos de seguridad dentro de su organización. Simplemente habilitando un bloqueo de PIN en su tarjeta SIM, pueden evitar que un tercero use su tarjeta SIM en un dispositivo diferente sin ingresar primero ese código (u obtener un código de derivación del proveedor de red, conocido como código PUK). Este código también se solicitará cuando el teléfono se reinicie y necesite volver a conectarse con su proveedor de red telefónica.

Un usuario de iPhone puede acceder a esta función navegando a Configuración > Datos móviles > PIN de SIM para cambiar su PIN de SIM y activarlo para su uso. En Android, esto se puede encontrar en Configuración > Seguridad > Configurar bloqueo de tarjeta SIM.

A medida que los dispositivos móviles pasen a utilizar eSIM en lugar de tarjetas SIM físicas, es probable que esto también sea un problema menor en el futuro. Dado que los Apple iPhone 14 en los EE. UU. ahora utilizan exclusivamente eSIM, no es necesario transferir una tarjeta SIM física a un dispositivo diferente. Dicho esto, todavía es posible configurar PIN de SIM en eSIM, y esto podría agregar una capa adicional de seguridad, especialmente si su teléfono permite leer mensajes de texto o responder llamadas telefónicas cuando está bloqueado.

Si bien muchos de nosotros en ciberseguridad entendemos los peligros de enviar contraseñas de un solo uso a través de SMS, la realidad es que esto es algo que no tenemos más opción que usar con muchos proveedores. Por lo tanto, lo mejor es asegurarnos lo mejor que podamos en estas circunstancias. Los PIN de SIM son una medida importante para ayudarnos en esto, especialmente cuando dependemos de tarjetas SIM físicas.

Junade Ali es un tecnólogo experimentado, interesado en la gestión de ingeniería de software, la investigación de seguridad informática y los sistemas distribuidos.