Los ingenieros de Apple piensan que han ideado una manera simple de hacer que los códigos únicos de autenticación de dos factores por SMS (2FA) sean menos susceptibles a ataques de phishing: acordar un formato de texto común para que su uso pueda automatizarse sin la necesidad de la interacción del usuario.
El concepto propuesto por el equipo Safari WebKit es que las aplicaciones como los navegadores móviles procesarán automáticamente los códigos de texto SMS a medida que se reciban, enviándolos al sitio web correcto.
Esto evita el peligro actual de introducir el contraseñas y nombres de usuarios en webs creadas con la única finalidad de obtener nuestros datos, antes de pedir el código 2FA correcto enviado a nuestro teléfono a la misma web falsa.
Pero para que la idea sea factible, deben superarse tres problemas.
El primero de ellos es que actualmente los códigos se envían en una variedad de formatos de texto que dificulta la extracción de los datos 2FA correctos y el dominio del sitio web.
Por ejemplo, los códigos 2FA de PayPal tienen este formato:
Su código de seguridad es 123456. Su código caduca en 5 minutos. Por favor no respondas
O la plataforma de juegos Steam:
Su código de verificación de Steam es AB1C2.
O Facebook:
Use 123456 para iniciar sesión en Facebook.
Y así sucesivamente, con cada sistema utilizando formatos ligeramente diferentes que incluso la tecnología de análisis heurístico lucha por interpretar sin cometer errores. Los mensajes también raramente incorporan los dominios con los que se relacionan los códigos.
La sugerencia de Apple es un formato de texto ligero diseñado para ser “lo más simple posible”, que se vería así:
747723 es su código de autenticación XYZ.com.
@ XYZ.com # 747723
La primera línea se usa para identificar el mensaje al destinatario, la segunda es la parte que las aplicaciones procesarían, incluida la URL correcta.
Los usuarios que reciban uno de los nuevos textos 2FA no tendrían que hacer nada. Los datos serían extraídos automáticamente por la aplicación que realiza la autenticación.
En la prorroga
Ahora el segundo problema: volverse universal, esto es algo en lo que todos los grandes nombres tendrían que adoptar. Hasta ahora, solo Google parece interesado, mientras que Mozilla y Microsoft aún no han aclarado sus posiciones.
Pero incluso si se suben a bordo, hay un tercer problema: la creciente sensación de que la verificación de mensajes de texto SMS es una idea inherentemente insegura que las empresas deben dejar de usar, punto.
Trabajar para mejorar la seguridad sería ignorar preocupaciones más profundas, como el fraude de intercambio de SIM, donde los delincuentes reciben códigos de seguridad después de secuestrar la cuenta del usuario móvil.
Mucho dependerá de Google, que en los últimos tiempos ha promovido lo que considera alternativas más seguras para recibir códigos SMS, como aplicaciones de autenticación, el estándar WebAuthn o tokens de hardware.
Sin embargo, más recientemente, adoptó un enfoque más pragmático y sugirió mejorar la comunicación por SMS utilizando iniciativas como SMS verificado para mensajes diseñados para autenticar a las organizaciones que envían mensajes SMS, incluidos, en teoría, sus códigos 2FA.
Esto parece una aceptación de que los canales de seguridad imperfectos, como los SMS, no desaparecerán y que el mundo seguirá usándolos todavía por un tiempo. Mejor, entonces, seguir mejorando su seguridad mientras estén activos.
Dejar un comentario