La autentificaci\u00f3n de doble factor es un m\u00e9todo muy utilizado por las instituciones financieras de todo el mundo para mantener a salvo el dinero de sus clientes: ya sabes, esos 4 o 6 d\u00edgitos que recibes del banco y que tienes que introducir para aprobar una transacci\u00f3n. Normalmente, los bancos env\u00edan contrase\u00f1as de un solo uso a trav\u00e9s de mensajes de texto. Por desgracia, los SMS son uno de los m\u00e9todos m\u00e1s d\u00e9biles de implantaci\u00f3n de la 2FA, ya que pueden ser interceptados y eso es lo que acaba de suceder en el Reino Unido.<\/p>\n
Los cibercriminales pueden acceder a tus mensajes de distintas formas y una de las m\u00e1s extravagantes es explotando un error en el SS7, un protocolo utilizado por las compa\u00f1\u00edas de telecomunicaciones para coordinar el env\u00edo de mensajes y llamadas (puedes leer m\u00e1s sobre este tema en este art\u00edculo<\/a>). A la red SS7 no le importa qui\u00e9n env\u00eda la solicitud, por tanto, si los ciberdelincuentes consiguen acceder<\/a>, la red seguir\u00e1 sus comandos como si fueran leg\u00edtimos para dirigir los mensajes y llamadas.<\/p>\n El procedimiento es el siguiente: primero, los cibercriminales obtienen el usuario y contrase\u00f1a de la banca online, probablemente a trav\u00e9s de phishing<\/em>, keylogger<\/em> o troyanos bancarios. Entonces, inician sesi\u00f3n en la banca online<\/em> y solicitan una transferencia. Actualmente, la mayor\u00eda de los bancos solicitan una confirmaci\u00f3n adicional y env\u00edan un c\u00f3digo de verificaci\u00f3n a la cuenta del propietario. Si el banco realiza esta operaci\u00f3n a trav\u00e9s de SMS, ah\u00ed es cuando los ciberdelincuentes explotan la vulnerabilidad SS7: interceptan el mensaje e introducen el texto, como si tuvieran tu tel\u00e9fono. Los bancos aceptan la transferencia como leg\u00edtima, ya que la transacci\u00f3n se ha autorizado dos veces: con tu contrase\u00f1a y con el c\u00f3digo de un solo uso. Por tanto, el dinero acaba en manos de los delincuentes.<\/p>\n El Metro Bank del Reino Unido acaba de confirmar a Motherboard<\/a> que algunos de sus clientes han sufrido este tipo de fraude. En 2017, S\u00fcddeutsche Zeitung<\/a> inform\u00f3 que los bancos alemanes se hab\u00edan enfrentado al mismo problema.<\/p>\n Pero tambi\u00e9n hay buenas noticias. Como comenta el propio Metro Bank, muy pocos clientes tuvieron que lidiar con un problema de este tipo y \u201cninguno se qued\u00f3 sin dinero\u201d.<\/p>\n Todo esto se podr\u00eda haber evitado si los bancos utilizaran autentificaci\u00f3n de doble factor que no dependiera de los mensajes de texto (por ejemplo, una aplicaci\u00f3n<\/a> o un dispositivo de autentificaci\u00f3n hardware<\/em> como Yubikei). Lamentablemente, de momento la mayor\u00eda de las instituciones financieras no permiten otros medios de autentificaci\u00f3n de doble factor que no sea a trav\u00e9s de SMS. Esperamos que en un futuro pr\u00f3ximo los bancos de todo el mundo ofrezcan otras opciones a los clientes para mejorar su protecci\u00f3n.<\/p>\n Por tanto, la moraleja de esta historia es la siguiente:<\/p>\n