533 millones de usuarios han quedado “desnudos”. La última y escandalosa filtración de datos de usuarios de Facebook es la enésima demostración de cómo una empresa negligente pone en riesgo no ya nuestra privacidad, sino nuestra seguridad e incluso nuestros ahorros.
Los datos filtrados exponen ahora a millones de usuarios a ser víctimas de ataques de suplantación de identidad y otros ciberataques dirigidos. El peligro es enorme, y este nuevo descalabro de Facebook es la última advertencia de un tema delicado: el SMS no es un buen método de autenticación en dos pasos.
Ten miedo. Mucho miedo.
Hasta no hace mucho parecía bastar con una protección de un único paso (usuario/contraseña), pero los robos masivos de contraseñas y malas prácticas por parte de los usuarios (usar y reutilizar ‘123456’ como contraseña es una idea atroz) hicieron que los métodos de autenticación en dos pasos (2FA) fueran mucho más recomendables a la hora de proteger cuentas en todo tipo de servicios.
Ya no valía solo con meter usuario y contraseña. Ahora también necesitabas verificar tu identidad con una clave de paso, normalmente un PIN que te llegaba a través de un mensaje SMS al móvil.
La idea era fantásica… o lo parecía. Solo nosotros estamos (teóricamente) en poder de nuestro móvil, así que ese PIN solo nos podía llegar a nosotros, ¿no?
No.
En filtraciones como las que han ocurrido con Facebook, los datos ya no son tan solo listas de correos electrónicos y de contraseñas asociadas. En esos datos vienen nombres completos, números de teléfono móvil —igual quieres borrarlo—, pero también el sexo y la ubicación de esos usuarios. La amenaza que plantean esos datos es absolutamente enorme.
La respuesta de Facebook al robo ha sido asombrosa, porque su filosofía es la de la inacción. No tienen planes para notificar a los usuarios afectados, que aún así pueden saber si forman parte de la filtración gracias al reputado servicio HaveIBeenPwned. Un reciente cambio en este servicio permite no solo saber si nuestro correo electrónico se ha filtrado, sino también si lo ha hecho nuestro número móvil y el resto de datos asociados a esos parámetros.
¿Qué pueden hacer “los malos” con los datos filtrados por Facebook?
Lo es porque todos esos datos le dan a ciberdelincuentes una oportunidad de oro para hacer todo tipo de ataques dirigidos, tanto de phishing (con correos que alguien que conocemos nos manda, “oye, ahora sí que puedo fiarme”) como de suplantación de identidad.
No es difícil imaginar que esos datos puedan servir para que un delincuente logre suplantar nuestra identidad y lograr por ejemplo un duplicado de nuestra tarjeta SIM. El inquietante SIM swapping está a la orden del día, y si somos víctimas de un ataque así estaremos en un verdadero aprieto, porque de repente nuestro móvil dejará de funcionar y el atacante aprovechará para poder hacer todo tipo de operaciones usando ese móvil.
Será él quien reciba el PIN para hacer esa transferencia bancaria o completar esa compra en Amazon, no tú, pero serás tú quien pague el pato (y la factura).
Las peligrosas ramificaciones de un robo de datos como este son insondables, y pueden llevar también a otros ataques de ingeniería social que permitan a otras personas recolectar aún más datos nuestros o convencernos para que les mandemos nuestro DNI (ni se os ocurra), y de nuevo las consecuencias de esos despistes pueden ser fatales.
Hay que decir adiós SMS como método de autenticación en dos pasos
Soy un poco pesado con esto. Lo dije hace cinco años y lo repetí al año siguiente. Proteger tus cuentas con autenticación en dos pasos es una gran idea, pero hacerlo con SMS no lo es tanto.
Es cierto los SMS son mejor que nada. De verdad que lo es. El problema es que este último desastre que hemos visto en Facebook pone de relieve que esos números de móvil ya no están tan seguros (algo que ya sabíamos hace tiempo), y que hay alternativas mucho mejores a la hora de implementar sistemas 2FA.
¿Cuáles? Para empezar, las aplicaciones móviles específicas para este propósito. Hay varias populares —Google Authenticator, Microsoft Authenticator, Authy…—, pero a ellas se suman otros métodos aún más seguros como los dispositivos físicos de autenticación, que a menudo se presentan en forma de “llaves USB”.
Las soluciones están ahí, pero la industria sigue anclada en el SMS
Sabemos cuál es el problema y sabemos que hay soluciones para (al menos) aliviarlo, así que, ¿qué pasa? ¿Por qué este tipo de alternativas no logran cuajar en el mercado?
En primer lugar, por la condena de la comodidad y la conveniencia. Los SMS son ya un viejo conocido que favorece la accesibilidad a estos sistemas de autenticación en dos pasos. Esta tecnología forma parte de nuestros móviles, el usuario no tiene que hacer nada para aprovecharla y además, la conoce y confía en ella (aunque quizás no debería hacerlo tanto).
Utilizar métodos más seguros como los citados requiere un cambio y un esfuerzo, algo que a los seres humanos no nos hace mucha gracia. Da igual que el beneficio sea claro: somos resistentes al cambio, y eso de tener que instalar una aplicación móvil nueva e ir usándola en nuestros dispositivos “con lo bien que estábamos con los SMS” se hace difícil.
Pero en realidad el verdadero problema es de la industria, que sigue absolutamente anclada en los SMS. Salvo en el caso de ciertos servicios específicos, hay numerosos escenarios en los que el soporte de apps como Google Authenticator (no digamos ya de llaves de seguridad tipo Yubikey) son un anatema para las empresas.
El ejemplo más claro y delicado son los bancos: os deseo suerte a la hora de intentar encontrar uno que funcione con alguna de las alternativas mencionadas, porque (al menos que yo sepa) no lo hay. Saben que existen este tipo de sistemas, pero de ahí a implementarlos media un mundo.
Las grandes de la tecnología son las que poco a poco comienzan a integrar estos sistemas en sus servicios. El Proyecto FIDO2/WebAuthn de la FIDO Alliance y el protocolo U2F (Universal 2nd Factor) que potencian soluciones como las que ofrece Yubikey van poco a poco soportándose en más y más servicios, y aunque muchos son interesantes por su potencial papel como intermediarios de una expansión masiva de estas tecnologías, lo cierto es que el SMS manda de momento en nuestro mundo.
We use cookies on our website to give you the most relevant experience by remembering your preferences and repeat visits. By clicking “Accept All”, you consent to the use of ALL the cookies. However, you may visit "Cookie Settings" to provide a controlled consent.
This website uses cookies to improve your experience while you navigate through the website. Out of these, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may affect your browsing experience.
Necessary cookies are absolutely essential for the website to function properly. These cookies ensure basic functionalities and security features of the website, anonymously.
Cookie
Duración
Descripción
cookielawinfo-checkbox-analytics
11 months
This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional
11 months
The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary
11 months
This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others
11 months
This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance
11 months
This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy
11 months
The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.
Functional cookies help to perform certain functionalities like sharing the content of the website on social media platforms, collect feedbacks, and other third-party features.
Performance cookies are used to understand and analyze the key performance indexes of the website which helps in delivering a better user experience for the visitors.
Analytical cookies are used to understand how visitors interact with the website. These cookies help provide information on metrics the number of visitors, bounce rate, traffic source, etc.
Advertisement cookies are used to provide visitors with relevant ads and marketing campaigns. These cookies track visitors across websites and collect information to provide customized ads.
533 millones de usuarios han quedado “desnudos”. La última y escandalosa filtración de datos de usuarios de Facebook es la enésima demostración de cómo una empresa negligente pone en riesgo no ya nuestra privacidad, sino nuestra seguridad e incluso nuestros ahorros.
Los datos filtrados exponen ahora a millones de usuarios a ser víctimas de ataques de suplantación de identidad y otros ciberataques dirigidos. El peligro es enorme, y este nuevo descalabro de Facebook es la última advertencia de un tema delicado: el SMS no es un buen método de autenticación en dos pasos.
Ten miedo. Mucho miedo.
Hasta no hace mucho parecía bastar con una protección de un único paso (usuario/contraseña), pero los robos masivos de contraseñas y malas prácticas por parte de los usuarios (usar y reutilizar ‘123456’ como contraseña es una idea atroz) hicieron que los métodos de autenticación en dos pasos (2FA) fueran mucho más recomendables a la hora de proteger cuentas en todo tipo de servicios.
Ya no valía solo con meter usuario y contraseña. Ahora también necesitabas verificar tu identidad con una clave de paso, normalmente un PIN que te llegaba a través de un mensaje SMS al móvil.
La idea era fantásica… o lo parecía. Solo nosotros estamos (teóricamente) en poder de nuestro móvil, así que ese PIN solo nos podía llegar a nosotros, ¿no?
No.
En filtraciones como las que han ocurrido con Facebook, los datos ya no son tan solo listas de correos electrónicos y de contraseñas asociadas. En esos datos vienen nombres completos, números de teléfono móvil —igual quieres borrarlo—, pero también el sexo y la ubicación de esos usuarios. La amenaza que plantean esos datos es absolutamente enorme.
La respuesta de Facebook al robo ha sido asombrosa, porque su filosofía es la de la inacción. No tienen planes para notificar a los usuarios afectados, que aún así pueden saber si forman parte de la filtración gracias al reputado servicio HaveIBeenPwned. Un reciente cambio en este servicio permite no solo saber si nuestro correo electrónico se ha filtrado, sino también si lo ha hecho nuestro número móvil y el resto de datos asociados a esos parámetros.
¿Qué pueden hacer “los malos” con los datos filtrados por Facebook?
Lo es porque todos esos datos le dan a ciberdelincuentes una oportunidad de oro para hacer todo tipo de ataques dirigidos, tanto de phishing (con correos que alguien que conocemos nos manda, “oye, ahora sí que puedo fiarme”) como de suplantación de identidad.
No es difícil imaginar que esos datos puedan servir para que un delincuente logre suplantar nuestra identidad y lograr por ejemplo un duplicado de nuestra tarjeta SIM. El inquietante SIM swapping está a la orden del día, y si somos víctimas de un ataque así estaremos en un verdadero aprieto, porque de repente nuestro móvil dejará de funcionar y el atacante aprovechará para poder hacer todo tipo de operaciones usando ese móvil.
Será él quien reciba el PIN para hacer esa transferencia bancaria o completar esa compra en Amazon, no tú, pero serás tú quien pague el pato (y la factura).
Las peligrosas ramificaciones de un robo de datos como este son insondables, y pueden llevar también a otros ataques de ingeniería social que permitan a otras personas recolectar aún más datos nuestros o convencernos para que les mandemos nuestro DNI (ni se os ocurra), y de nuevo las consecuencias de esos despistes pueden ser fatales.
Hay que decir adiós SMS como método de autenticación en dos pasos
Soy un poco pesado con esto. Lo dije hace cinco años y lo repetí al año siguiente. Proteger tus cuentas con autenticación en dos pasos es una gran idea, pero hacerlo con SMS no lo es tanto.
Es cierto los SMS son mejor que nada. De verdad que lo es. El problema es que este último desastre que hemos visto en Facebook pone de relieve que esos números de móvil ya no están tan seguros (algo que ya sabíamos hace tiempo), y que hay alternativas mucho mejores a la hora de implementar sistemas 2FA.
¿Cuáles? Para empezar, las aplicaciones móviles específicas para este propósito. Hay varias populares —Google Authenticator, Microsoft Authenticator, Authy…—, pero a ellas se suman otros métodos aún más seguros como los dispositivos físicos de autenticación, que a menudo se presentan en forma de “llaves USB”.
Expertos en ciberseguridad e incluso organizaciones como Amnistía Internacional recomiendan estos ‘tokens físicos’. Los más célebres son probablemente las de Yubikey, pero hay otras muchas alternativas, incluidas las Titan que Google desarrolló hace tiempo.
Las soluciones están ahí, pero la industria sigue anclada en el SMS
Sabemos cuál es el problema y sabemos que hay soluciones para (al menos) aliviarlo, así que, ¿qué pasa? ¿Por qué este tipo de alternativas no logran cuajar en el mercado?
En primer lugar, por la condena de la comodidad y la conveniencia. Los SMS son ya un viejo conocido que favorece la accesibilidad a estos sistemas de autenticación en dos pasos. Esta tecnología forma parte de nuestros móviles, el usuario no tiene que hacer nada para aprovecharla y además, la conoce y confía en ella (aunque quizás no debería hacerlo tanto).
Utilizar métodos más seguros como los citados requiere un cambio y un esfuerzo, algo que a los seres humanos no nos hace mucha gracia. Da igual que el beneficio sea claro: somos resistentes al cambio, y eso de tener que instalar una aplicación móvil nueva e ir usándola en nuestros dispositivos “con lo bien que estábamos con los SMS” se hace difícil.
Pero en realidad el verdadero problema es de la industria, que sigue absolutamente anclada en los SMS. Salvo en el caso de ciertos servicios específicos, hay numerosos escenarios en los que el soporte de apps como Google Authenticator (no digamos ya de llaves de seguridad tipo Yubikey) son un anatema para las empresas.
El ejemplo más claro y delicado son los bancos: os deseo suerte a la hora de intentar encontrar uno que funcione con alguna de las alternativas mencionadas, porque (al menos que yo sepa) no lo hay. Saben que existen este tipo de sistemas, pero de ahí a implementarlos media un mundo.
Las grandes de la tecnología son las que poco a poco comienzan a integrar estos sistemas en sus servicios. El Proyecto FIDO2/WebAuthn de la FIDO Alliance y el protocolo U2F (Universal 2nd Factor) que potencian soluciones como las que ofrece Yubikey van poco a poco soportándose en más y más servicios, y aunque muchos son interesantes por su potencial papel como intermediarios de una expansión masiva de estas tecnologías, lo cierto es que el SMS manda de momento en nuestro mundo.
Tened cuidado ahí fuera.
Fuente: Xakata
Compartir esto: