Alex Weinert, director asociado de seguridad de la identidad en Microsoft, lleva un año promoviendo que los usuarios acepten y habiliten soluciones de autenticación multifactor (MFA, por sus siglas en inglés) como modo de proteger sus cuentas online.
No es mero convencimiento personal, sino también una política promovida por su compañía: según las estadísticas internas que manejan, los usuarios de cuentas Microsoft lograron bloquear el 99,9% de los ataques automatizados que recibieron, todo gracias a la autenticación multifactor.
Pese a eso, no todos los sistemas MFA son útiles, ni meramente recomendables. Y por eso Weinert ha empezado a desaconsejar el uso la autenticación basada en SMS y llamadas al teléfono móvil, un tipo de MFA bastante popular hoy en día.Según el directivo de Microsoft, su posición se fundamenta en la amenaza que representa este método por sus agujeros de seguridad... unos agujeros no atribuibles a la propia tecnología multifactor, sino a las redes telefónicas móviles.
En Xataka
Tu número de teléfono: eso es todo lo que se necesita para hackear tu smartphone
Agujeros de seguridad... y dos alternativas
La clave del problema reside en que, aunque los métodos criticados por Weinert recurren a códigos de un sólo uso, tanto los SMS como las llamadas de voz nos hacen llegar dichos códigos a través de canales no cifrados.
Esto que provoca que los mensajes puedan ser fácilmente interceptados mediante malware (como Modlishka) o mediante sistemas de espionaje …