Dudan de la eficacia de la autenticación por medio de SMS
Los expertos dicen que la violación de Reddit ofrece un excelente ejemplo de los riesgos de depender de las contraseñas de un solo uso enviadas por mensaje de texto.
El ataque contra Reddit puede haber resultado en una brecha de seguridad limitada, pero el equipo de ingeniería de Reddit y muchos expertos en la industria de la seguridad creen que debería ser un fuerte llamado de atención para que las organizaciones mejoren sus métodos de autenticación de dos factores (2FA).
Según el personal de ingeniería de Reddit, "sospechamos que las debilidades inherentes al 2FA basado en SMS son la causa principal de este incidente", que expuso datos de usuarios antiguos y hashes de credeciales. En su anuncio del alcance del incidente de seguridad, la empresa alentó a otros profesionales de seguridad a pasar a la autenticación basada en tokens.
"Si bien muchas organizaciones piensan que la autenticación de dos factores es una solución milagrosa para la autenticación, en realidad no lo es, gracias a las debilidades de las redes móviles que permiten interceptar los SMS", dice Leigh-Anne Galloway, líder de resistencia a la ciberseguridad en Positive Technologies.
La forma en que Reddit fue vulnerada es un ataque común que aprovecha la fe injustificada en la autenticación doble basada en SMS, agrega. "SMS por sí solo no es suficiente para constituir una defensa adecuada de los datos de clientes y empleados", dice Galloway. "Se necesita autenticación de dos factores que involucre generadores de tokens de hardware independientes para mitigar el riesgo de tales ataques".
Las vulnerabilidades de las contraseña SMS de un solo uso (OTP) para interceptar apenas son un secreto, dice Andy Smith, vicepresidente de marketing de productos de Centrify. Él ve otra lección aquí sobre lo importante que es para los equipos de seguridad y TI mantenerse al tanto de los últimos estándares de seguridad. Por ejemplo, señala el hecho de que el Instituto Nacional de Estándares y Tecnologías en su publicación especial 800-63 Guidelines recomienda restringir el uso de SMS para OTP y aconseja eliminar completamente la generación de OTP por correo electrónico.
"En cambio, NIST está propagando el uso de claves de seguridad basadas en hardware o habilitadas para aplicaciones que aprovechan el estándar FIDO", dice.
De hecho, las claves de seguridad basadas en hardware que utilizan el estándar Universal Second Factor (U2F) de FIDO han estado ganado tracción de alto perfil de grandes marcas que las utilizan tanto para clientes como para empleados. Por ejemplo, en enero Facebook extendió el soporte para U2F a los clientes que querían comenzar a proteger sus cuentas con métodos 2FA más seguros.
Mientras tanto, apenas el mes pasado, Google dijo que logró evitar que sus más de 85,000 empleados sean atacados durante más de un año desde que comenzó a conminarlos a que usen claves de seguridad basadas en U2F para inicios de sesión. El programa ha tenido tanto éxito que Google planea desplegar sus propias claves de seguridad para los clientes corporativos de Google Cloud.
Sin embargo, algunos difusores de seguridad creen que la industria no debería apilar demasiado en 2FA basado en SMS.
"En muchos casos, es mejor que nada", dice Ilia Kolochenko, CEO de High-Tech Bridge. "Además, cuando la mayoría de las aplicaciones críticas para el negocio tienen vulnerabilidades graves que varían desde inyecciones a RCE, el reforzamiento 2FA definitivamente no es la tarea más importante de la cual ocuparse".
El instructor principal de SANS, Jake Williams, está de acuerdo, declarando en una publicación de Twitter que "fanáticos de tokens de 2FA" deberían disminuir su uso.
Sin embargo, aunque SMS 2FA es mejor que una contraseña sola, es importante que las organizaciones no se deje engañar por una falsa sensación de seguridad al usarlo, dice Craig Young, investigador de seguridad informática del Equipo de Investigación de la Vulnerabilidad y la Exposición (VERT) de Tripwire.
"Aunque cualquier forma de autenticación multifactor es una mejora considerable en los modelos simples de contraseñas, los tokens de verificación basados en SMS pueden ser robados con una variedad de técnicas bien conocidas, como ingeniería social, malware móvil o interceptando y descifrando directamente las señales de las torres celulares ," asegura.
El aspecto interesante de la brecha de seguridad de Reddit, agrega Young, es que no es una institución financiera, que tradicionalmente es el objetivo para este tipo de ataques