Mejorar la seguridad es posible si las web escuchan

10 septiembre, 2018
17 Compartido 2,205 Visualizaciones

Las apps de autenticación para móviles son una buena manera de mejorar la seguridad de las contraseñas. Si no fuera porque ralentizan el proceso al tener que teclear esos malditos códigos numéricos. ¿Seguro que en 2018 no existe una forma mejor?

Dos investigadores de la Universidad de Birmingham Alabama creen que han encontrado la respuesta, pero se necesita unos buenos altavoces, un teléfono y un smartwatch.

Listening Watch, un proyecto basado en un trabajo anterior de los investigadores Prakash Shrestha y Nitesh Saxena, utiliza el poder del sonido para autenticarte en tus webs favoritas.

Cuando te identificas en una web, la autenticación de dos factores (2FA) ofrece un nivel extra de protección sobre las contraseñas porque comprueba otro factor que el usuario conoce antes permitir el acceso. En algunos casos el factor es hardware. En otros, es un dispositivo de uso común como un teléfono.

Los ciberdelincuentes siempre están buscando maneras de saltarse la 2FA. Por ejemplo RSA, tuvo que reemplazar la mayoría de sus tokens SecurID en 2011 después de que alguien robara los códigos que inicializaban cada uno. NIST desaprobó los SMS como mecanismo 2FA en junio del año pasado, al comprobar que intrusos estaban robando números de teléfono y utilizándolos como falsa autenticación.

La 2FA también es latosa, supone un paso extra para identificarse en cualquier sitio, lo que molesta a los usuarios. En 2016, un estudio mostró que el 28% de los usuarios no utiliza el 2FA, y 6 de cada 10 que lo hacen es porque están obligados.

Un mecanismo más fácil

Si utilizas el método de Listening Watch, un usuario tratando de identificarse en una web tiene que introducir su nombre de usuario y contraseña como siempre.  Entonces la web comienza a mantener  dos conversaciones separadas, una con el navegador y otra con el smartphone del usuario, que está enlazado con el smartwatch o monitor de actividad de su muñeca.

La web envía al navegador una señal de audio generada automáticamente recitando un código. Al mismo tiempo envía un mensaje al teléfono del usuario para que el dispositivo de su muñeca grave todo lo que oye.

El navegador reproduce el código y lo graba enviándolo de vuelta a la web. Al mismo tiempo el smartwatch también está grabando y lo envía al teléfono. Si el usuario está usando el smartwatch entonces tanto el navegador como el smartwatch deberían haber grabado lo mismo.

Tras recibir el audio de la web y del smartwatch el teléfono utiliza el reconocimiento de voz para extraer el mensaje de cada audio. Si los códigos coinciden, también compara las dos señales de audio para determinar si son similares. Si lo son, entonces el usuario está cerca del navegador y el teléfono dice a la web que acepte su petición de conexión en el caso de no ser rechazada.

El estudio es una reforma completa de un proyecto anterior de los mismos investigadores llamado Sound-Proof. Este usaba un concepto parecido, pero en vez de basarse en códigos utilizaba el sonido ambiente. Sin embargo, un atacante podría predecir y replicar esos sonidos, lo que constituye una vulnerabilidad. Un atacante cercano al usuario podría simplemente grabar el sonido ambiente para atacar el sistema.

El sistema de códigos de Listening Watch hace que el audio sea totalmente impredecible, dicen los investigadores. El uso de dispositivos wearables, que normalmente tienen una resolución baja relativa, con un micrófono de alcance limitado, lo que imposibilita que alguien grabe el audio sin que pase inadvertido. Sin embargo existe el peligro de que mejore la calidad de los micrófonos de los smartwatch lo que podría suponer una amenaza de un ataque local.

Mantente informado de las noticias más relevantes en nuestro canal de Telegram

Te podría interesar

¿Es Google Play seguro? Nuevas campañas de adclickers que infectan aplicaciones con malware
Actualidad
8 compartido1,428 visualizaciones
Actualidad
8 compartido1,428 visualizaciones

¿Es Google Play seguro? Nuevas campañas de adclickers que infectan aplicaciones con malware

Aina Pou Rodríguez - 27 febrero, 2020

BearClod y Haken son los nuevos adclickers que han afectado más de 50 aplicaciones en Google Play que suman más…

Los buscadores te conocen, ¿sabes cómo ejercer el derecho al olvido?
Sin categoría
16 compartido2,463 visualizaciones
Sin categoría
16 compartido2,463 visualizaciones

Los buscadores te conocen, ¿sabes cómo ejercer el derecho al olvido?

Samuel Rodríguez - 26 septiembre, 2018

Seguro que más de una vez has buscado tu nombre o el de un amigo o familiar en un buscador…

Encuentran múltiples vulnerabilidades en el enchufe WeMo Insight Switch de Belkin
Actualidad
6 compartido728 visualizaciones
Actualidad
6 compartido728 visualizaciones

Encuentran múltiples vulnerabilidades en el enchufe WeMo Insight Switch de Belkin

Alicia Burrueco - 30 diciembre, 2019

Los investigadores de Bitdefender han descubierto recientemente un problema de seguridad en el enchufe WeMo Insight Switch de Belkin, un enchufe…

Deje un comentario

Su email no será publicado

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.