Mejorar la seguridad es posible si las web escuchan

10 septiembre, 2018
17 Compartido 2,242 Visualizaciones

Las apps de autenticación para móviles son una buena manera de mejorar la seguridad de las contraseñas. Si no fuera porque ralentizan el proceso al tener que teclear esos malditos códigos numéricos. ¿Seguro que en 2018 no existe una forma mejor?

Dos investigadores de la Universidad de Birmingham Alabama creen que han encontrado la respuesta, pero se necesita unos buenos altavoces, un teléfono y un smartwatch.

Listening Watch, un proyecto basado en un trabajo anterior de los investigadores Prakash Shrestha y Nitesh Saxena, utiliza el poder del sonido para autenticarte en tus webs favoritas.

Cuando te identificas en una web, la autenticación de dos factores (2FA) ofrece un nivel extra de protección sobre las contraseñas porque comprueba otro factor que el usuario conoce antes permitir el acceso. En algunos casos el factor es hardware. En otros, es un dispositivo de uso común como un teléfono.

Los ciberdelincuentes siempre están buscando maneras de saltarse la 2FA. Por ejemplo RSA, tuvo que reemplazar la mayoría de sus tokens SecurID en 2011 después de que alguien robara los códigos que inicializaban cada uno. NIST desaprobó los SMS como mecanismo 2FA en junio del año pasado, al comprobar que intrusos estaban robando números de teléfono y utilizándolos como falsa autenticación.

La 2FA también es latosa, supone un paso extra para identificarse en cualquier sitio, lo que molesta a los usuarios. En 2016, un estudio mostró que el 28% de los usuarios no utiliza el 2FA, y 6 de cada 10 que lo hacen es porque están obligados.

Un mecanismo más fácil

Si utilizas el método de Listening Watch, un usuario tratando de identificarse en una web tiene que introducir su nombre de usuario y contraseña como siempre.  Entonces la web comienza a mantener  dos conversaciones separadas, una con el navegador y otra con el smartphone del usuario, que está enlazado con el smartwatch o monitor de actividad de su muñeca.

La web envía al navegador una señal de audio generada automáticamente recitando un código. Al mismo tiempo envía un mensaje al teléfono del usuario para que el dispositivo de su muñeca grave todo lo que oye.

El navegador reproduce el código y lo graba enviándolo de vuelta a la web. Al mismo tiempo el smartwatch también está grabando y lo envía al teléfono. Si el usuario está usando el smartwatch entonces tanto el navegador como el smartwatch deberían haber grabado lo mismo.

Tras recibir el audio de la web y del smartwatch el teléfono utiliza el reconocimiento de voz para extraer el mensaje de cada audio. Si los códigos coinciden, también compara las dos señales de audio para determinar si son similares. Si lo son, entonces el usuario está cerca del navegador y el teléfono dice a la web que acepte su petición de conexión en el caso de no ser rechazada.

El estudio es una reforma completa de un proyecto anterior de los mismos investigadores llamado Sound-Proof. Este usaba un concepto parecido, pero en vez de basarse en códigos utilizaba el sonido ambiente. Sin embargo, un atacante podría predecir y replicar esos sonidos, lo que constituye una vulnerabilidad. Un atacante cercano al usuario podría simplemente grabar el sonido ambiente para atacar el sistema.

El sistema de códigos de Listening Watch hace que el audio sea totalmente impredecible, dicen los investigadores. El uso de dispositivos wearables, que normalmente tienen una resolución baja relativa, con un micrófono de alcance limitado, lo que imposibilita que alguien grabe el audio sin que pase inadvertido. Sin embargo existe el peligro de que mejore la calidad de los micrófonos de los smartwatch lo que podría suponer una amenaza de un ataque local.

Mantente informado de las noticias más relevantes en nuestro canal de Telegram

Te podría interesar

El ataque a routers UPnP suma malware NSA para infectar los ordenadores
APTS
19 compartido3,057 visualizaciones
APTS
19 compartido3,057 visualizaciones

El ataque a routers UPnP suma malware NSA para infectar los ordenadores

Samuel Rodríguez - 7 diciembre, 2018

Investigadores han encontrado pruebas de que los routers UPnProxy comprometidos a principios de este año, se están utilizando ahora para…

Fuentes oficiales para estar (des)informados
Revista Nº3
5 compartido1,888 visualizaciones
Revista Nº3
5 compartido1,888 visualizaciones

Fuentes oficiales para estar (des)informados

Aina Pou Rodríguez - 24 diciembre, 2020

Con Internet recibimos falsedades que más allá de mantenernos informados nos desinforman Controlar los bulos y las falsas informaciones sigue…

Todo lo que tienes que saber sobre la filtración masiva de Marriot
Soluciones Seguridad
18 compartido2,682 visualizaciones
Soluciones Seguridad
18 compartido2,682 visualizaciones

Todo lo que tienes que saber sobre la filtración masiva de Marriot

Samuel Rodríguez - 7 diciembre, 2018

Marriot ha revelado que su base de datos de reservas Starwood ha sufrido accesos no autorizados “desde 2014”. El alcance…

Deje un comentario

Su email no será publicado

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.