Desde iOS 12 las apps pueden autorrellenar los códigos de autenticación de doble factor que se envían mediante SMS de forma automática. Ahora, con los cambios de iOS 14, Apple da una vuelta de tuerca a la seguridad de estos códigos.

Más seguridad y menos phishing

Vaya por delante el hecho de que enviar un código de verificación de doble factor por SMS supone varios riesgos para la seguridad. El último ejemplo lo hemos visto en el ataque a Twitter, en el que se comprometieron varias cuentas, incluida la de Apple. Conscientes de esta situación los ingenieros de Apple han añadido una nueva funcionalidad a la que denominan “domain-bound code” que podemos traducir como un "código ligado a un dominio". Apple describe la funcionalidad en los siguientes términos:

Además, comenzando con iOS 14 y macOS Big Sur, estamos agregando una capa extra de seguridad a los códigos entregados por SMS, permitiéndole asociar los códigos con un dominio web específico.

Gracias a este cambio ahora iOS y macOS solo sugerirán el autorrelleno del código si el dominio que se especifica coincide con la página web o la app que estamos usando. De esta forma el código que nos envía, por ejemplo, Telegram, que está asociado al dominio telegram.org, solo podrá ser leído por Telegram, ya sea en su app o en su web.

Según Apple este cambio hace que sea mucho más difícil engañar al usuario en páginas web de phishing, tal como describe Apple en un documento …