Microsoft recomienda a sus usuarios que dejen de usar soluciones de autenticación de múltiples factores (AMF) como códigos por SMS o llamadas de voz, y se decanten en favor de tecnologías más modernas, como aquellas basadas en aplicaciones y en hardware.
Alex Weinert, director de seguridad de identidad en Microsoft, lleva meses instando a los internautas a activar las más nuevas soluciones AMF en sus cuentas digitales. Argumenta, con base en las estadísticas de su compañía, que estos métodos han bloqueado 99,9 % de los ataques automáticos a las cuentas de Microsoft.
En una publicación de este miércoles, el experto aconsejó que los usuarios se alejen de la AMF basada en telefonía.
Weinert señaló que tanto los mensajes SMS como las llamadas de voz se efectúan sin encriptar, por lo que pueden ser fácilmente interceptados por determinados hackers con herramientas y técnicas como la radio definida por software, femtoceldas o servicios de intercepción de SS7.
Los códigos por SMS son vulnerables a ataques phishing mediante herramientas de código abierto como Modlishka, CredSniper o Evilginx, mencionadas como ejemplo por el portal ZDNet.
Asimismo, no se excluye que empleados de redes telefónicas conmutadas puedan verse atrapados «por encanto, coerción, sobornos o extorsión» y proporcionen al atacante acceso al canal de SMS o llamadas de voz.
Las redes telefónicas también son susceptibles a cambios de regulación y suspensiones técnicas que afectan la disponibilidad de mecanismos AFM, impidiendo la autenticación rápida en caso de urgencia.
Todas estas razones convierten los SMS y las llamadas en «los métodos de AFM menos seguros disponibles hoy en día», y gracias a su amplia adopción se están haciendo el objetivo principal para los hackers, según Weinert.
Al instar a los usarios a aceptar herramientas de MFA más seguras, el experto recomienda como punto de partida el Microsoft Authenticator.
Cortesía de RT
Te podría interesar