Andy Thompson, investigador de ciberseguridad de CyberArk Labs
La reciente decisión de Twitter de desactivar la autenticación en dos pasos (2FA) por SMS para los usuarios que no son de Twitter Blue ha creado un gran revuelo. La gran ventaja es que brinda la oportunidad de mejorar la seguridad de los usuarios de Twitter al migrarlos a un método más seguro de autenticación multifactor (MFA). Pero la autenticación por SMS también conlleva una serie de riesgos.
Como consumidores, en numerosas ocasiones activamos SMS 2FA (que requiere una contraseña y un código enviado por mensaje de texto a nuestro teléfono) para proteger nuestros datos bancarios, redes sociales, correo electrónico, etc. De ahí que usar cualquier tipo de método MFA sea mejor que usar solo una contraseña, pero eso no significa que la autenticación por SMS pueda proteger adecuadamente los datos, aparte de que no es viable para las empresas complejas que necesitan asegurar el acceso de empleados, proveedores, socios y clientes. De hecho, SMS es uno de los métodos MFA menos seguros que existen en la actualidad y debido a SMS 2FA, prácticamente todas las organizaciones han sufrido un ataque de intercambio de módulo de identidad de suscriptor (SIM) en un momento u otro.
Por ello, tanto el Instituto Nacional de Estándares y Tecnología (NIST) como Google llevan años advirtiendo contra el uso de SMS 2FA, pero sigue siendo un método de autenticación muy popular. ¡Y caro! Según diversos informes, Twitter gastó 60 millones de dólares al año para combatir los mensajes de texto SMS de cuentas falsas de bots. Además de que a las empresas se les cobra una tarifa por cada código SMS que se envía.
Las amenazas basadas en la identidad están evolucionando rápidamente, lo cual subraya aún más la necesidad de que las organizaciones reconsideren sus enfoques MFA heredados y adopten alternativas diseñadas para superar a los atacantes y proteger los activos críticos. En este sentido, factores de autenticación secundarios resistentes al phishing, como FIDO, códigos QR, biometría o tokens físicos, pueden marcar la diferencia a la hora de frustrar los ataques. Sin embargo, ningún método MFA es a prueba de fallos, pues los ataques de fatiga MFA y otros esquemas de phishing elaborados buscan formas de eludir cualquier tipo de MFA.
A diferencia de SMS 2FA, una solución MFA adaptativa puede aprender del historial de hábitos de acceso de un usuario, lo que le permitirá distinguir el comportamiento típico de la actividad que conlleve mayor riesgo. La flexibilidad de esta forma adaptativa de MFA proporciona el equilibrio perfecto entre la protección y evitar que las medidas de seguridad mejoradas afecten negativamente a la experiencia del usuario.
