Por qué debería evitar el uso de contraseñas de un solo uso enviadas mediante mensajes de texto

Una de las formas más convenientes para que los usuarios de dispositivos móviles inicien sesión en aplicaciones (y el método en el que confían muchas empresas para otorgar acceso) es una contraseña de un solo uso, u OTP, que a menudo se comparte a través de mensajes de texto. Pero existe un consenso cada vez mayor entre los expertos en ciberseguridad de que las contraseñas de un solo uso, al igual que las contraseñas tradicionales, deberían eliminarse gradualmente, aunque los expertos dicen que es dudoso que eso suceda pronto.

Se insta a los consumidores a prestar atención a los diferentes tipos de contraseñas de un solo uso y a los riesgos de seguridad relativos en comparación con los beneficios que ofrece cada una. La experiencia demuestra que siempre hay algunas formas de eludir la autenticación, pero algunos métodos son más potentes que otros, según Ant Allan, vicepresidente analista de Gartner Research. «No existen métodos de autenticación infalibles», afirmó Alan.

Esto es lo que los consumidores necesitan saber sobre las contraseñas de un solo uso (OTP) y la seguridad en línea:

Las tarjetas OTP son vulnerables al fraude en línea

Las contraseñas de un solo uso (OTP) enviadas por mensaje de texto o SMS son más vulnerables a los ataques de estafadores a través de una variedad de medios, como ataques de phishing, suplantación de identidad y seguridad fraudulenta en Javelin Strategy & Research, dijo Tracy C. Kitten, directora de fraude y seguridad en Javelin Strategy & Research tarjeta SIM e interceptar mensajes, incluso si tiene su teléfono en su poder.

El problema se ve agravado por el hecho de que cuando una cuenta móvil o un sitio web son secuestrados, es posible que no te des cuenta de inmediato. “Puedes pedirle a un banco, por ejemplo, que envíe un mensaje de texto y luego devolverlo, sin darte cuenta de que alguien más lo ha recibido”, dice Keaten. “Pueden pasar 45 minutos antes de que te des cuenta de que algo anda mal, y eso es todo. punto, es demasiado tarde». «Gordo».

Utilice la aplicación de autenticación de Google y Microsoft

La mejor opción, aunque no es una solución milagrosa, es descargar una aplicación de autenticación, como Google Authenticator o Microsoft Authenticator, en un dispositivo móvil, dicen los expertos en seguridad. Las aplicaciones de autenticación siguen siendo vulnerables a algunos tipos de ataques de “enemigo intermedio”, pero siguen siendo más seguras que los SMS, afirmó Allan.

Con una aplicación de autenticación, los usuarios reciben un código único cada vez que inician sesión y el código caduca, generalmente después de 30 a 60 segundos. No se envía nada al número de teléfono. La aplicación de autenticación está en su dispositivo móvil, por lo que si el teléfono está protegido con contraseña y habilita el reconocimiento facial, esto reduce en gran medida el riesgo de que alguien pueda acceder a esos códigos, dijo Kitten.

Todavía existen vulnerabilidades potenciales que dependen de la necesidad de ingresar código, dice Cédric Thevenet, vicepresidente y jefe de ventas y soluciones cibernéticas de Capgemini Americas. Por ejemplo, digamos que alguien recibe un correo electrónico que parece ser de una empresa o proveedor con el que trata habitualmente, pero que en realidad es un intento de phishing bien disfrazado. Gracias a la inteligencia artificial, este tipo de correos electrónicos de phishing se han vuelto más difíciles de detectar, afirmó Thevenet.

Si un usuario distraído hace clic en el enlace, es posible que lo lleve a un sitio web que parece legítimo, pero no lo es. La persona ingresa su nombre de usuario y contraseña en el sitio web del hacker, pensando que es el sitio web del proveedor de servicios, y luego, cuando se le solicita el código de autenticación, lo escribe también. Ahora, como explicó Thevenet, el hacker tiene acceso a la cuenta de la persona.

Considere pagar aplicaciones móviles para una mejor protección

Existe una opción de autenticación más segura que funciona junto con aplicaciones móviles en el teléfono del usuario. Cuando los usuarios inician sesión en el sitio web de su banco u otro tipo de proveedor de servicios, reciben una notificación en la aplicación correspondiente de su teléfono pidiéndoles que verifiquen su identidad con esta notificación.

Este método de verificación es independiente del dispositivo desde el que inicia sesión y es mejor que los SMS o las contraseñas de un solo uso para la autenticación, pero existen ataques que también pueden funcionar contra este método, dijo Alan. Un pirata informático puede intentar repetidamente iniciar sesión en la cuenta de alguien utilizando una contraseña robada y el usuario recibirá varios mensajes en su teléfono para su verificación. Si la persona no está prestando mucha atención, o simplemente quiere dejar de molestar, puede hacer clic para verificar y así darle acceso a la cuenta al hacker.

Elija una clave de seguridad de hardware cuando sea posible

Una mejor opción es utilizar una llave de seguridad física como una Yubico. Una clave se puede utilizar con múltiples aplicaciones y servicios. Desde el punto de vista de la seguridad, es mejor que los SMS o una aplicación de autenticación, afirmó Alan. Pero hay una inversión. Una llave puede costar entre 20 y 60 dólares o más, y la gente debe tener cuidado de no perderla.

Esto tampoco es práctico en todas las situaciones. El minorista en línea no entregará una clave a cada uno de sus clientes por razones de costo y practicidad, afirmó Thevenet.

Elimine las contraseñas de la ecuación con claves de acceso para múltiples dispositivos

Aunque el uso de claves de acceso para múltiples dispositivos, que reemplazan la necesidad de contraseñas, no es necesariamente un sustituto de una contraseña de un solo uso, sí hace que sea más difícil para un atacante ingresar a sus cuentas. Las claves de acceso consisten en una «clave privada» almacenada en la computadora o teléfono del usuario y un cifrado de clave pública, según la Alianza FIDO, un consorcio abierto centrado en reducir la dependencia mundial de las contraseñas.

Además de eliminar algunos de los inconvenientes de las contraseñas, las claves de acceso protegen a los usuarios de ataques de phishing porque solo funcionan en sitios web y aplicaciones en los que están registrados. Hay algunas preocupaciones de seguridad, pero al menos «elimina las contraseñas de la ecuación, lo que dificulta que un atacante comience en primer lugar», dijo Allan.

Desde un punto de vista regulatorio, las claves de acceso pueden no calificar como autenticación multifactor, pero pueden ser más seguras que usar una contraseña y un SMS, dijo Allan.

Espere que las contraseñas de un solo uso (OTP) de SMS sigan en uso, y existe un riesgo

Existe una amplia gama de opciones disponibles para que los usuarios administren los inicios de sesión en línea con un mayor enfoque en la seguridad, incluidos los administradores de contraseñas, pero todas implican riesgos y, hasta cierto punto, los consumidores están limitados a los métodos de autenticación que ofrecen los diferentes proveedores.

El director general de Protiviti, Dusty Anderson, que dirige la práctica de identidad digital de la empresa, dice que uno de sus clientes gasta decenas de miles de dólares al mes enviando contraseñas de un solo uso a través de SMS. A pesar de las preocupaciones de seguridad, el cliente se mantiene firme porque teme causar problemas, especialmente con clientes que no están familiarizados con la tecnología y pueden ser reacios a utilizar otro tipo de herramienta de autenticación.

Por otras razones, Thevenet dijo que las contraseñas temporales probablemente seguirán estando disponibles de alguna forma en el futuro previsible. Thevenet agregó que las opciones más populares son de bajo costo y fáciles de usar y, a pesar de algunos riesgos, estos métodos siguen siendo mejores que una simple contraseña. «¿Enviar una contraseña temporal por SMS es la mejor solución? No. ¿Es mejor que solo una contraseña? Sí».