Apple y la autenticación de dos factores para prevenir ataques

ActualidadMalwareSmartphonesApple

Apple y la autenticación de dos factores para prevenir ataques

¿Ha hecho obligatorio Apple el uso de la autenticación de doble factor (2FA) para los usuarios beta de macOS High Sierra iOS 11? ¿Y es eso realmente importante?

La respuesta corta es que no. Apple no obliga a usar la 2FA, pero es fácil entender porque los usuarios beta que ya están usando la antigua tecnología de verificación de dos pasos (2SV) pueden haber entendido mal el reciente correo que han recibido:

Si instalas las betas públicas de iOS 11 o macOS High Sierra este verano y cumples con los requerimientos básicos, tu Apple ID se actualizará automáticamente para usar la autenticación de doble factor.

Esto significa que los usuarios que ya están usando la 2SV se les actualizará a 2FA, mientras los que nunca han usado 2SV, seguirán igual.

Sin lugar a dudas, muchos de los que comenzarán a usar la 2FA desconocen las ventajas que supone. Por eso vamos a arrojar algo de luz sobre el asunto.

La verificación de dos pasos ha estado disponible para la Apple ID e iCloud desde 2013, mientras que apareció en 2015 para todos los usuarios de OS X El Capitan, iOS 9 o posteriores. Apple no ha informado de cuántos usuarios emplean cada uno de esos sistemas, pero seguramente son una pequeña minoría.

La tecnología 2SV de Apple es básicamente similar a la que emplean otros productos como Google, Twitter, PayPal o Facebook. Supone registrar un número de teléfono y uno o más dispositivos en los que se deberá introducir un único código de validación además de la contraseña correspondiente.

Este diseño es vulnerable a ataques “hombre-en-el-medio” y fraudes de cambio de SIM, por lo que Apple quiere que estos usuarios se cambien a la 2FA.

A mayores de enviar a los usuarios códigos SMS, también se puede utilizar una app integrada que genera códigos offline. Es algo similar al Google Authenticator pero mejor integrado con el sistema operativo.

Una interpretación de esto es que Apple quiere que cada dispositivo sea una herramienta capaz de generar códigos de seguridad offline. Aunque posiblemente sea una exageración ya que las herramientas usadas para autenticación de doble factor son objetos dedicados (como YubiKey o RSA SecurID) en los que no se puede escribir.

Google posiblemente incorporará su Authenticator a Andorid en algún momento, pero ahora mismo su interés es desarrollar un sistema de autenticación para toda la web. Apple, en cambio, se centra en sus propios usuarios, lo que facilita la labor.

Lo que tiene que conseguir Apple es que sus usuarios comiencen a considerar la autenticación como una herramienta para defenderse de ataques, como el último de ransomware en iCloud.

Llegará un día en que este nivel de seguridad será obligatorio, simplemente porque tiene mucho sentido. Ese día aún no ha llegado, pero la dirección del camino está marcada. Usuarios de Apple, prepararos para la actualización ya.

 

Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación:

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

w

Conectando a %s