Muchos bancos y sistemas de TI corporativos obligan a los usuarios a usar contraseñas de un solo uso por SMS para proteger sus cuentas, pero la mayoría de los usuarios pueden omitirlas fácilmente.
Imagina hacer un viaje al gimnasio oa la piscina. Antes de dirigirse a su actividad, guarda sus objetos de valor en un casillero, lo que significa que su teléfono y su billetera están juntos. Dado que los proveedores bancarios a menudo envían mensajes de texto SMS a su teléfono para aprobar transacciones sospechosas, si alguien pudiera ingresar al casillero y acceder a sus tarjetas y a su teléfono (sin pasar por el PIN de su teléfono), seguramente podría para eludir cualquier medida de seguridad en torno a transacciones sospechosas.
Este fue el destino que enfrentó a Charlotte Morgan, quien informó en un hilo de Twitter después de que un ladrón eludiera las cerraduras de su casillero del gimnasio y eludiera la seguridad de su teléfono para robar dinero de su cuenta bancaria e irse de compras por £ 5,000. Charlotte notó que todos sus PIN, códigos de acceso y contraseñas eran diferentes.
A menudo, en las comunidades de seguridad se afirma que “el acceso físico se acabó”, debido a la gran cantidad de poder que tiene un atacante con el control de su dispositivo, pero en realidad, hay pasos tangibles que las personas pueden tomar para protegerse de ser víctimas. a tales ataques.
Muchas cuentas personales y corporativas a menudo usan mensajes de texto SMS para entregar contraseñas de un solo uso para agregar una capa adicional de seguridad antes de que alguien pueda iniciar sesión en una cuenta en línea, hablar con un representante de atención al cliente (por ejemplo, usando la banca telefónica) o incluso inscribirse en aplicaciones de banca móvil (las aplicaciones de banca modernas incluso muestran el número PIN de su tarjeta en la propia interfaz de usuario de la aplicación).
Si bien las contraseñas de un solo uso de SMS no son ideales (por ejemplo, si alguien pudo interceptar el mensaje, podría obtener el código), la alternativa es usar aplicaciones de autenticación de dos factores (2FA) o tokens de hardware, que muchos proveedores no hacen. utilícelo como predeterminado para reducir la fricción del usuario.
Es posible que ahora esté pensando que la biometría de alguien (huella digital o reconocimiento facial) o el número PIN del teléfono evitarán que un actor malicioso tenga acceso a sus mensajes de texto. De hecho, las medidas de refuerzo de la seguridad en los dispositivos de un usuario generalmente se enfocan en asegurarse de que el software que se ejecuta en el teléfono esté actualizado y libre de cualquier malware que pueda robar datos. Yo personalmente uso aplicaciones como iVerify para estar al tanto de la seguridad de mi móvil; sin embargo, estas medidas se pueden omitir fácilmente para la mayoría de los usuarios cuando se trata de contraseñas de un solo uso de SMS.
Simplemente quitando la tarjeta SIM de su teléfono y colocándola en otro teléfono, puede recibir cualquier mensaje SMS 2FA enviado a ese número de teléfono sin necesidad de desbloquear el teléfono. Ese teléfono tomará el número de teléfono del teléfono anterior.
Para aquellos de ustedes que leen esto, pueden tomar medidas para protegerse a sí mismos y a su organización si están en posición de dar consejos de seguridad dentro de su organización. Simplemente habilitando un bloqueo de PIN en su tarjeta SIM, puede evitar que un tercero use su tarjeta SIM en un dispositivo diferente sin ingresar primero ese código (u obtener un código de omisión del proveedor de red, conocido como código PUK). Este código también aparecerá cuando el teléfono se reinicie y necesite volver a conectarse con su proveedor de red telefónica.
Un usuario de iPhone puede acceder a esta función navegando a Configuración> Datos móviles> PIN de SIM para cambiar su PIN de SIM y activarlo para su uso. En Android, esto se puede encontrar en Configuración > Seguridad > Configurar bloqueo de tarjeta SIM.
A medida que los dispositivos móviles hagan la transición al uso de eSIM en lugar de tarjetas SIM físicas, es probable que esto también sea un problema menor en el futuro. Con Apple iPhone 14s en los EE. UU. ahora usando exclusivamente eSIM, no hay una tarjeta SIM física para transferir a un dispositivo diferente. Dicho esto, aún es posible configurar PIN de SIM en eSIM, y esto podría agregar una capa adicional de seguridad, especialmente si su teléfono permite leer mensajes de texto o responder llamadas telefónicas cuando está bloqueado.
Si bien muchos de nosotros en seguridad cibernética entendemos las trampas de enviar contraseñas de un solo uso por SMS, la realidad es que esto es algo que no tenemos más opción que usar con muchos proveedores. Por lo tanto, es mejor asegurarnos lo mejor que podamos en estas circunstancias. Los PIN de SIM son una medida importante para ayudarnos en esto, particularmente cuando dependemos de las tarjetas SIM físicas.
Junade Ali es un tecnólogo experimentado interesado en la gestión de ingeniería de software, la investigación de seguridad informática y los sistemas distribuidos.
