Ningún método es perfecto pero las claves de seguridad físicas son una forma confiable de autenticación multifactor. Crédito:Shutterstock
Cuando se trata de ciberseguridad personal, podría pensar que lo está haciendo bien. Tal vez haya configurado la autenticación multifactor en su teléfono, por lo que debe ingresar un código que se le envió por SMS antes de poder iniciar sesión en su correo electrónico o cuenta bancaria desde un nuevo dispositivo.
Lo que quizás no se dé cuenta es que las nuevas estafas han realizado la autenticación mediante un código enviado por mensajes SMS, los correos electrónicos o las llamadas de voz son menos seguras de lo que solían ser.
La autenticación de múltiples factores figura en el modelo de madurez esencial de ocho del Centro de seguridad cibernética de Australia como una medida de seguridad recomendada para que las empresas reduzcan su riesgo de ataque cibernético.
El mes pasado, en una lista actualizada, autenticación mediante mensajes SMS, los correos electrónicos o las llamadas de voz se degradaron, lo que indica que ya no se consideran óptimos para la seguridad.
Esto es lo que debería hacer en su lugar.
¿Qué es la autenticación multifactor?
Siempre que iniciamos sesión en una aplicación o dispositivo, Por lo general, se nos solicita algún tipo de verificación de identidad. A menudo, esto es algo que sabemos (como una contraseña), pero también puede ser algo que tenemos (como una llave de seguridad o una tarjeta de acceso) o algo que somos (como una huella digital).
El último de estos a menudo se prefiere porque, mientras puedes olvidar una contraseña o una tarjeta, su firma biométrica está siempre con usted.
La autenticación multifactor se produce cuando se realiza más de una verificación de identidad a través de diferentes canales. Por ejemplo, es común en estos días ingresar su contraseña, y un código de autenticación adicional que debe ingresar se envía a su teléfono a través de un mensaje SMS, correo electrónico o correo de voz.
Muchos servicios, como bancos, ya ofrecen esta función. Se le envía un código "único" a su teléfono con el fin de confirmar la autoridad para realizar una transacción.
Esto es bueno porque:
¿Cómo pudo salir mal esto?
Supongamos que un ciberdelincuente ha robado su teléfono, pero lo tienes bloqueado mediante huella dactilar. Si el delincuente quiere comprometer su cuenta bancaria e intenta iniciar sesión, su banco envía un código de autenticación a su teléfono.
Dependiendo de cómo estén configurados los ajustes de su teléfono, el código podría aparecer en la pantalla de su teléfono, incluso cuando todavía está bloqueado. El delincuente podría ingresar el código y acceder a su cuenta bancaria. Tenga en cuenta que la configuración de "no molestar" en su teléfono no ayudará ya que el mensaje aún aparece, aunque en silencio. Para evitar este problema, debe deshabilitar las vistas previas de mensajes por completo en la configuración de su teléfono.
Un truco más elaborado implica "intercambio de SIM". Si un delincuente tiene algunos de sus datos de identidad, es posible que puedan convencer a su proveedor de telefonía de que es usted y solicitar que se les envíe una nueva SIM adjunta a su número de teléfono. De esa manera, cada vez que se envía un código de autenticación desde una de sus cuentas, irá al hacker en lugar de a ti.
Esto le sucedió a un periodista de tecnología en los EE. UU. Hace un par de años, quien describió la experiencia:"Aproximadamente a las 9:00 p. m. del martes, El 22 de agosto, un pirata informático cambió su propia tarjeta SIM por la mía, presumiblemente llamando a T-Mobile. Esta, Sucesivamente, apagar los servicios de red de mi teléfono y, Momentos después, permitió que el pirata informático cambiara la mayoría de mis contraseñas de Gmail, mi contraseña de Facebook, y envía un mensaje de texto en mi nombre. Todas las notificaciones de dos factores fueron, por defecto, a mi número de teléfono, así que no recibí ninguno y en unos dos minutos me quedé fuera de mi vida digital ".
Luego está la cuestión de si desea proporcionar su número de teléfono al servicio que está utilizando. Facebook ha sido criticado en los últimos días por exigir a los usuarios que proporcionen su número de teléfono para proteger sus cuentas. pero luego permitir que otros busquen su perfil a través de su número de teléfono. Según los informes, también han utilizado números de teléfono para dirigirse a los usuarios con anuncios.
Esto no quiere decir que dividir los controles de identidad sea algo malo, es solo que enviar parte de una verificación de identidad a través de un canal menos seguro promueve una falsa sensación de seguridad que podría ser peor que no usar ningún tipo de seguridad.
La autenticación multifactor es importante, siempre que lo haga a través de los canales adecuados.
¿Qué combinaciones de autenticación son las mejores?
Consideremos algunas combinaciones de autenticación multifactor que tienen diversos grados de facilidad de uso y seguridad.
Una primera opción obvia es algo que conoces y algo que tienes, diga una contraseña y una tarjeta de acceso físico. Un ciberdelincuente tiene que obtener ambos para hacerse pasar por ti. No imposible, pero difícil.
Otra combinación es una contraseña y una huella de voz. Un sistema de reconocimiento de huellas de voz lo graba diciendo una frase de contraseña en particular y luego hace coincidir su voz cuando necesita autenticar su identidad. Esto es atractivo porque no puede dejar su voz en casa o en el automóvil.
Pero, ¿se podría forjar tu voz? Con la ayuda de software digital, podría ser posible tomar una grabación existente de su voz, desempaquete y vuelva a secuenciarlo para producir la frase requerida. Esto es algo desafiante, pero no imposible.
Una tercera combinación es una tarjeta y una huella de voz. Esta opción elimina la necesidad de recordar una contraseña, que podría ser robado, y siempre que mantenga el token físico (la tarjeta o la llave) a salvo, es muy difícil para otra persona hacerse pasar por ti.
Todavía no existen soluciones perfectas y el uso de la versión más segura de autenticación depende de que la ofrezca el servicio que está utilizando. como su banco.
La ciberseguridad se trata de gestionar el riesgo, de modo que la combinación de autenticación multifactor que se adapte a sus necesidades depende del equilibrio que acepte entre usabilidad y seguridad.
Este artículo se ha vuelto a publicar de The Conversation con una licencia de Creative Commons. Lea el artículo original.