Google dejará de usar la autenticación por SMS
Parece que finalmente está dispuesto a dejar de utilizar códigos SMS para la autenticación multifactor (MFA) en Gmail.
Según personas con información privilegiada de Google, parece que finalmente está dispuesto a dejar de utilizar códigos SMS para la autenticación multifactor (MFA) en Gmail, ya que los delincuentes informáticos siguen manipulando el proceso para comprometer las cuentas.
El 23 de febrero, Forbes informó que fuentes internas de Google habían revelado que la empresa había tomado la decisión de eliminar los códigos SMS para la autenticación y reemplazarlos por códigos QR.
Un portavoz de Google dijo que, al igual que su esfuerzo por reemplazar las contraseñas por claves de acceso, está buscando alejarse de la autenticación SMS a la luz de un torrente global de ataques cibernéticos que abusan de los procesos MFA basados en SMS.
La principal debilidad de la autenticación con códigos SMS es que los atacantes activan el proceso MFA para interceptar el código de acceso de un solo uso (OTP) y usarlo para comprometer las cuentas.
Esto se puede lograr engañando a las víctimas para que revelen sus OTP a través de estafas de ingeniería social o tomando el control del número de teléfono de la víctima a través de un ataque de intercambio de SIM.
El portavoz dijo que la verificación por SMS también juega un papel importante para garantizar que los cibercriminales no puedan abusar de sus servicios con fines maliciosos, pero se ha explotado en algunas estafas como el intercambio de SIM y el bombeo de tráfico.
Rishi Bhargava, cofundador de Descope, dijo que la decisión de Google de finalmente eliminar la autenticación por código SMS es un momento crucial en la industria de la seguridad, pero considerando las debilidades del proceso, calificó la medida como muy esperada. “La decisión de Google de abandonar la autenticación por SMS es un momento decisivo en la seguridad, pero no es sorprendente, dado que SMS ha sido el eslabón más débil en MFA durante años”.
Bhargava destacó que Google también citó el bombeo de tráfico, que implica que los delincuentes engañen a los proveedores de servicios para que envíen OTP a las líneas premium que controlan, generando así ganancias cada vez que se genera una verificación por SMS.
Si bien los códigos SMS son mejores que ninguna autenticación, son vulnerables al phishing, el intercambio de SIM y los ataques de interceptación en tiempo real que pasan por alto la MFA tradicional.
El cambio de código QR de Google está previsto para un “futuro cercano”
En el futuro, cuando Google verifique números de teléfono, pasará a utilizar un código QR que el usuario puede escanear con su dispositivo móvil. En primer lugar, esto reducirá significativamente la capacidad de un atacante para engañar a los usuarios para que compartan sus códigos de verificación, ya que es mucho más difícil compartir un código QR que un simple número de seis dígitos.
El nuevo sistema de verificación también eliminará a los proveedores de red que pueden ser manipulados en el intercambio de SIM y el bombeo de tráfico.
Los códigos QR no están exentos de sus propias debilidades en lo que respecta a la ciberseguridad. El phishing de código QR, o “qishing”, es un vector de ataque cada vez más frecuente empleado por los actores de amenazas. Después de que Google haga la transición a la verificación de código QR, los atacantes pueden aprovechar el mayor uso de la herramienta y adaptar sus cadenas de ataques de phishing para reflejar este proceso.
En una campaña observada por Trend Micro, se descubrió que los actores de amenazas distribuían un código QR malicioso disfrazado de un método de autenticación de dos factores para los “documentos” que se enviaban a las víctimas.
Google no ha dado un plazo específico en el que se realizará la transición para los titulares de cuentas de Google, pero agregó que los usuarios deben estar atentos a las actualizaciones de la empresa en el “futuro cercano”.