La verificación en dos pasos vía SMS tiene los días contados

Escrito por Alberto García
Software

Desde hace unos cuantos años son muchas las redes sociales y gestores de correo electrónico los que han añadido este nuevo sistema de doble identificación para acceder a sus servicios. Además de tener que introducir la contraseña, nos piden un código que es enviado a nuestro teléfono móvil a través de un SMS.

Este sistema para que no contenta al Instituto Nacional de Estándares y Tecnología de Estados Unidos (NIST, por sus siglas en inglés), que ha decidido prohibir este tipo de identificación por no ser los suficientemente seguro. Esta institución genera una serie de reglas escritas en las Normas de Verificación Digital, que es usado por desarrolladores de software, gobiernos y agencias privadas para hacer sus servicios y productos. más seguros. En el último borrador de estas normas, que está siempre a la última y se actualiza constantemente debido a lo cambiante de la industria, han decidido dejar de recomendar la verificación en dos pasos.

verificacion en dos pasos

Lo que ha llevado a que el Instituto a decidir prohibir este sistema en el futuro es el hecho de que los SMS no son un medio seguro como para depender de ellos a la hora de identificarnos. Por ejemplo, el teléfono puede que no esté en posesión del dueño, o, incluso, se pueden robar los SMS en servicios de VoIP, o se cambiar la identidad del usuario si se trata de un móvil de prepago. Además, el propio servicio de SMS es inseguro, y constantemente se están encontrando vulnerabilidades para este sistema.

El NIST deja de recomendar utilizarlo a partir de ahora, y afirman que estará prohibido en las futuras actualizaciones de la guía, por lo que veremos cómo desaparece este sistema de todas las redes sociales y servicios de correo electrónico durante el próximo año.

img-2fa

Como sustituto, podemos esperar la introducción de sistemas biométricos, tales como la huella dactilar, la cual es mucho más difícil de hackear, ya que es necesario que esté la propia persona utilizando el teléfono. Introducir la contraseña junto con la huella dactilar nos permitirá tener un teléfono prácticamente inaccesible para terceros.

La eliminación de este sistema ayudará a evitar también el tener que introducir nuestro número de teléfono en determinados servicios o redes sociales, los cuales probablemente no queremos que tengan nuestra información telefónica, y así evitar que podamos ser objetivo de llamadas de spam. Además, la introducción de la huella dactilar permitirá que haya una mejor interconexión entre las aplicaciones y las versiones web. Recordamos también que la información de nuestras huellas no queda almacenada, sino un token de acceso que identifica que es nuestra huella.

Quizá te interese…

WinAuth añade autenticación de dos factores para varias aplicaciones en una sola herramienta

WhatsApp añadirá autenticación en dos pasos en próximas versiones

Google facilita el inicio de sesión con la identificación en dos pasos en un solo clic

Fuente > ADSLZone

Vía > TechCrunch

Continúa leyendo
Comentarios
8 comentarios
  1. Nombre
    Usuario no registrado
    26 Jul, 16 5:41 pm

    Que el NIST lo haya considerado inseguro no significa tenga los días contados.

    ADSLZone debería pasar a llamarse ClickBaitZone.

  2. Roberto
    Usuario no registrado
    26 Jul, 16 6:17 pm

    Hola, buenas.

    Escribo este comentario porque estoy interesado en el anuncio que dice que si compro 10 euros con samsung pay me dan otros 10 euros.

    ¿Alguien me puede ayudar?

    1. Tontolaba
      Usuario no registrado
      26 Jul, 16 7:07 pm

      Anda, entonces si pagas 10 y te dan otros 10 te quedas con 0, ¿no?

      1. Anónimo
        Usuario no registrado
        26 Jul, 16 7:37 pm

        No. Yo creo que decia que me gasto 10 y luego me dan otros 10 para gastar aunque ahora que lo dices no estoy muy seguro.

        1. Asno
          Usuario no registrado
          26 Jul, 16 9:03 pm

          Y que carajo tienen que ver esos comentarios con este hilo? En esta mierda de web no solo ponen chorradas los redactores sino que pasan de los comentarios de gilipollas que escriben cualquier cosa!!!

  3. J.L.
    Usuario no registrado
    26 Jul, 16 11:26 pm

    Buenas noches, creo que la noticia no es cierta ni verídica al 100%. Normalmente es más seguro enviar un sms que un mensaje en mensajería instantanea pues los primeros suelen ir encriptados y son controlados por los operadores telefónicos mientras que los servicios de mensajeria instantánea llevan menos controles al ser gestionados por empresas privadas que tienen sus propios servidores. Esta noticia es incompleta e inexacta ya que el periodista que la ha redactado no ha contrastado las fuentes de información y la información técnica que diferencia entre sms y mensajería instantánea

    1. Alberto García 27 Jul, 16 3:34 pm

      Antes de animarte a decir que damos información inexacta y que no contrastamos la información te recomendaría que buscases “SMS spoofing” o “SMS tampering” en Google, y vieras que los problemas de seguridad están en el propio dispositivo, no en el operador de telefonía. Si leyeras el informe que ha publicado el NIST, no afirmarías tal cosa.

      1. Anónimo
        Usuario no registrado
        27 Jul, 16 6:09 pm

        Y qué tiene que ver el SMS spoofing con la autenticación doble? Vaya patinazo. Lo único que consiguen con un SMS spoofing sería como mucho hacer un “DoS” social, al enviarte otro sms con un código falso. Eso no les permite acceder a tu pin real.

        El SMS spoofing permite indicar que el remitente es distinto al que lo ha generado, pero no recibir mensajes ajenos.

        En fin…. ni p. idea.