¿Usas MFA por dictado de voz o SMS? ¡Aléjate!

Es hora de comenzar a alejarse de los mecanismos de Autenticación Multifactor (MFA) por SMS y por dictado a través de llamadas de voz. Dedicaremos este espacio a convencerte de esto y ahondaremos en las razones de porque hacerlo.

Primero; comprender que estos mecanismos se basan en redes telefónicas publicas conmutadas (PSTN). Y bueno, parece claro que las redes públicas son todo menos seguras. Es decir, pueden ser pinchadas por proveedores y hasta por el Estado. Además, disponemos de senda información sobre vulnerabilidades del protocolo SS7, para interceptar y robar contenidos en tránsito, que sin duda son usadas por ciberdelincuentes para sus malévolos fines.

Investigadores descubren ataques al protocolo de red LTE ...

En CR la “conocida” DIS y adjuntos itinerantes (caso UPAD) han dado algunos atisbos de “supuestas” intervenciones y violaciones a la privacidad en cuanto a obtener información sensible y focalizada, asi como “presuntamente” practicar vigilancia a objetivos, amparados en la necesidad de preservar el orden público, la seguridad pública y la seguridad nacional. Todo esto ampliamente divulgado en medios de prensa e incluso algunos casos elevados a estrados judiciales.

En el contexto internacional, en España por ejemplo; ha surgido un anteproyecto de ley que busca autorizar la irrupción en plataformas y sistemas de comunicación con fines que van desde la comunicación masiva de mensajes por parte del Estado, hasta la intervención y escucha con fines de “seguridad nacional”.

En México, para citar un país de la región; se conoce desde 2016 que la Ley Federal de Telecomunicaciones y Radiodifusión establece que toda información que se envíe y se reciba desde un teléfono debe respaldarse por hasta dos años por parte de las empresas de telefonía, para posible consulta del gobierno. En este caso, se incluyen llamadas, mensajes de texto, archivos enviados y recibidos, fecha, hora y duración de cada llamada hecha o recibida, buzón de voz, geolocalización del teléfono, así como nombre y domicilio de toda persona que cuente con una línea telefónica.

ReVoLTE, ataque para comprometer llamadas telefónicas ...
Imagen tomada de HispaSec

Siendo un defensor manifiesto del derecho a la privacidad y del derecho al olvido; intuyo sin esfuerzo que el apetito de gobiernos, corporaciones e ignotos, es cada vez más brutal, produciendo irremediablemente que el riesgo de las potenciales víctimas se vea ampliado, a medida que la adopción de MFA aumente el interés de los usuarios en proteger su privacidad y de los atacantes –cualquier categoría de intruso-, en romper estos métodos para explotar abiertamente sus ventajas de inseguridad y usabilidad a su favor.

El tema en la mesa es la Autenticación Multifactorial (MFA), la cual sin duda es esencial. Es decir, lo que debato es; qué método de MFA utilizar. La autenticación multifactorial (MFA) es lo mínimo que debemos considerar si se toma en serio la protección del acceso a sus accesos a cuentas de activos en línea, cuáles sean… así como es evidente que el uso de cualquier cosa más allá de la contraseña –contraseñas seguras por aquello-, aumenta la dificultad para los intrusos, atacantes o violadores de la privacidad de hacerse con nuestra información privilegiada o de invadir nuestra privacidad. De paso, se estima que la tasa de compromiso a cuentas que utilizan MFA es inferior al 0,1%.

Casi todos los mecanismos de seguridad de hoy día, pueden ser explotados para acceder a credenciales y esa explotación es posible a través de la PSTN: Por ejemplo; One-time-password (OTP) por voz, accesos a cuentas en redes sociales, acceso a cuentas de correo, etc., lo anterior través de phishing o ingeniería social… otros métodos más violentos pueden ser el robo de dispositivos o la interceptación de mensajes; como es el caso en análisis.

Fallos en la seguridad de SS7 permiten la grabación de ...
Imagen tomada de Segur-info

Así que, como muchos dispositivos dependen de la recepción de mensajes a través de la PSTN, y bueno; el formato de los mensajes es limitado; no podemos hacer más que recibir o enviar la OTP en un mensaje de texto corto (SMS) o una llamada telefónica (dictado por voz). Desafortunadamente, los formatos de voz y SMS no son adaptables, por lo que la experiencia y las oportunidades de innovacion en usabilidad y seguridad son muy limitadas.

Otro elemento que agrega dolor, es que los protocolos de voz y SMS se diseñaron sin cifrado. Lo que deviene es que, desde una perspectiva de usabilidad práctica, no podemos superponer el cifrado en estos protocolos porque los usuarios no podrían leerlos. Esto significa que cualquier persona que pueda acceder a la red de conmutación o esté dentro del alcance de radio de un dispositivo, puede interceptar las señales. Ósea, si es capaz de implementar un radio definido por software (SDR), podría interceptar mensajes o utilizar un servicio de intercepción SS7 para escuchar el tráfico telefónico.

Ataques al protocolo SS7 y 3G ~ Segu-Info
Imagen tomada de Segur-info

No olvidemos la ingeniería social… todos nosotros, incluidos los agentes de atención al cliente son vulnerables al encanto, la manipulación, el engaño, la coerción, el soborno o la extorsión. Si estos esfuerzos de ingeniería social tienen éxito, pueden ser letales para la seguridad del usuario. Esto conduce a todo, desde la interceptación de mensajes hasta los ataques de desvío de llamadas y la extracción o gemeleo de SIMs (SIM swaping).

Los sistemas de PSTN no son 100% confiables –¿que lo es? -. Los SMS consisten en «disparar y olvidar«, de tal suerte que el proveedor de MFA no tiene una señal en tiempo real para identificar un problema y depende de las tasas de finalización de estadísticas o llamadas al servicio de asistencia, para detectar anomalías. Ósea, advertir a los usuarios sobre un riesgo es algo difícil de ofrecer y quizá cuando se reaccione sea demasiado tarde.

Hemos además visto un aumento del spam en formato de SMS. Los reguladores “más pellizcados” han exigido controles sobre códigos de identificación, velocidades de transmisión, contenido de mensajes, permiso o autorización para enviar, alta para acceder a números de envió masivo, respuesta a mensajes como «STOP», autorización de envío, abuso de mensajes de cobro invertido, etc. Sin embargo, la tecnología se mueve rápido y estas regulaciones deben ajustarse rápidamente y son inconsistentes de una región a otra.

En síntesis, los medios de texto o voz limitan la cantidad de información que se puede comunicar a un usuario. Los SMS soportan una longitud de 160 caracteres, 70 si no se usa GSM, y una vez que entramos en idiomas que requieren codificación, el límite práctico sin división de mensajes, es de alrededor de la mitad de eso.

El phishing sigue siendo un vector de amenaza grave y aunque se quiera dotar al usuario de la mayor cantidad de contexto posible; los formatos de voz y SMS restringen la capacidad de ofrecer contexto en cuanto a que se realiza durante la autenticación o el pedido.

En fin, para recapitular, debemos usar sin duda alguna algún tipo de MFA. Ya vemos que SMS o dictado del OTP por llamada de voz no parecen para nada seguros. Lo que despeja cual sería la respuesta correcta. Es decir; siendo que todos hoy día tenemos un móvil, la mejor opción es la autenticación basada en aplicaciones, eso sí; bajo el entendido que usted mantendrá buenas prácticas de seguridad con su dispositivo móvil.

Drupal Single Sign On (SSO) | OAuth SSO | SAML SSO

Las aplicaciones para la generación de OTP dinámicos usan comunicación encriptada, lo que permite una comunicación bidireccional sobre el estado de autenticación, además de que cada día se les agrega más contexto para que el usuario razone si está o no ante una amenaza.

Algunas características ya disponibles en el mercado ofrecen, por ejemplo; el bloqueo temporizado de la aplicación, ocultar las notificaciones cuando la pantalla del dispositivo está bloqueada, historial de inicios de sesión en la aplicación y esta lista seguirá creciendo.

Para finalizar, hacer hincapié en la importancia de educarse en seguridad digital. No se trata de ser experto, se trata de tener una cultura de aseguramiento digital, tal cual la tenemos en el mundo físico. Si no lo tiene claro, recuerde consejos sobre el mundo físico como: “no comparta el pin de su tarjeta”, “no camine por allí solo”, “fíjese sigilosamente si lo siguen” o “fíjese para los lados cuando camina”, “si va al cajero, fíjese que no haya alguien detrás”, “no presuma cosas de valor en público”, etc. ¡Estoy seguro que me ha entendido!