Este es una de las newsletters antiguas que se enviaron de forma exclusiva a los miembros del Club Negocios Seguros, y que se liberan públicamente un mes más tarde.

Si quieres recibir las actuales cada martes y jueves en tu bandeja de correo, hazte miembro ahora.

*******

Negocios Seguros

doble factor

Ha vuelto a ocurrir.

El doble factor de autenticación es, como ya he dicho en más de una ocasión, el elemento mínimo de seguridad que deberíamos tener implementado en todos los sitios donde nos dejen tenerlo. Más que nada porque gracias a él se evitan casi todos los ataques masivos a los que podemos tener que enfrentarnos.

Un doble factor de autenticación basado en un elemento de conocimiento (una contraseña, por ejemplo) y uno de posesión (un smartphone nuestro).

¿Cuál es el problema entonces?

Que para verificar la identidad mediante el smartphone tenemos que utilizar, sí o sí, un servicio digital. Un servicio que opera mundialmente, y que de ser comprometido, rompe esa identidad por posesión de la que hablamos.

Es lo que ha vuelto a ocurrir recientemente con algunos clientes de bancos alemanes (DE). Los cibercriminales han conseguido acceder a las cuentas de la víctimas bypaseando el doble factor de autenticación… comprometiendo el protocolo Signaling System Number 7 (o SS7), que utilizan la mayoría de operadores de telecomunicaciones para realizar la comunicación a la hora de llamar, enviar SMS o compartir datos.

Un protocolo que lleva años sin tocarse, y que se ha quedado desfasado a su tiempo.

Estos listillos han encontrado la manera de hackearlo, reenviando los códigos de la víctima a otros dispositivos bajo su control, y rompiendo así la principal fortaleza del doble factor de autenticación.

Afortunadamente, y por si se lo pregunta, no es algo que usted o un servidor podamos hacer fácilmente. Pero es algo que ya está al alcance de la industria del crimen, y en definitiva de cualquiera con los recursos suficientes.

¿Servirá esto para que el consorcio de operadoras se ponga las pilas y actualice el SS7 de una vez? Esperemos que así sea. Por lo pronto ya hay peticiones oficiales que reman en esta dirección (EN).

________

Si quieres recibir contenido exclusivo como éste el día uno y directamente en tu bandeja de correo cada martes y jueves, hazte miembro del Club «NEGOCIOS SEGUROS».

Banner negocios seguros