Uno de los métodos más convenientes para que los usuarios de teléfonos móviles inicien sesión en las aplicaciones (y en el que confían muchas empresas para otorgar acceso) es la contraseña de un solo uso, u OTP, que a menudo se comparte por mensaje de texto. Pero existe un consenso cada vez mayor entre los profesionales de la ciberseguridad de que las OTP, como las contraseñas tradicionalesdebería eliminarse, aunque los expertos dicen que es dudoso que eso suceda pronto.
Se insta a los consumidores a tener en cuenta los distintos tipos de contraseñas de un solo uso y los riesgos de seguridad relativos a los beneficios que ofrece cada una. La experiencia demuestra que siempre hay alguna forma de burlar la autenticación, pero algunos métodos se consideran más seguros que otros, según Ant Allan, vicepresidente y analista de Gartner Research. “No existen métodos infalibles para la autenticación”, afirmó Allan.
Esto es lo que los consumidores necesitan saber sobre las OTP y la seguridad en línea:
Los OTP son vulnerables a las estafas en línea
Los OTP a través de mensajes de texto o SMS son más vulnerables a los ataques de los estafadores a través de una variedad de medios, como ataques de phishing, intercambio de SIM e interceptación de mensajes, incluso si su teléfono está en su posesión, dijo Tracy C. Kitten, director de fraude y seguridad en Javelin Strategy & Research.
El problema se agrava por el hecho de que, cuando alguien secuestra tu cuenta móvil o tu sitio web, es posible que no te des cuenta de ello de inmediato. “Podrías pedirle a un banco, por ejemplo, que envíe un mensaje de texto y luego lo vuelva a enviar, sin darte cuenta de que alguien más lo está recibiendo. Podrías tardar 45 minutos en darte cuenta de que algo anda mal y, en ese momento, ya es demasiado tarde”, dijo Kitten.
Utilice una aplicación de autenticación de Google, Microsoft
Los profesionales de seguridad afirman que una mejor opción, aunque tampoco es una panacea, es descargar una aplicación de autenticación, como Google Authenticator o Microsoft Authenticator, en un dispositivo móvil. Las aplicaciones de autenticación aún pueden ser vulnerables a algunos tipos de ataques como el “adversario en el medio”, pero siguen siendo más seguras que los SMS, afirmó Allan.
Con una aplicación de autenticación, los usuarios reciben un código único cada vez que inician sesión y el código caduca, generalmente después de 30 a 60 segundos. No se envía nada a un número de teléfono. El autenticador está en su dispositivo móvil, por lo que si el teléfono está protegido con contraseña y tiene habilitado el reconocimiento facial, se reduce en gran medida el riesgo de que alguien pueda acceder a esos códigos, dijo Kitten.
Por supuesto, todavía existen vulnerabilidades potenciales basadas en la necesidad de ingresar un código, dice Cedric Thevenet, vicepresidente y director de ventas y soluciones cibernéticas en Capgemini Americas. Digamos, por ejemplo, que una persona recibe un correo electrónico que parece ser de una empresa o proveedor con el que hace negocios habitualmente, pero, en realidad, es un intento de phishing bien camuflado. Gracias a la IA, este tipo de correos electrónicos de phishing son cada vez más difíciles de detectar, dijo Thevenet.
Si el usuario desprevenido hace clic en el enlace, puede que le lleve a un sitio web que parece legítimo, pero no lo es. La persona introduce su nombre de usuario y contraseña en el sitio del hacker, pensando que es el sitio del proveedor, y luego, cuando se le pide el código de autenticación, lo escribe también. Ahora, explicó Thevenet, el hacker tiene acceso a la cuenta de la persona.
Considere la posibilidad de implementar aplicaciones móviles para una mejor protección
Una opción aún más segura para la autenticación funciona en conjunto con las aplicaciones móviles en el teléfono del usuario. Cuando los usuarios inician sesión en un sitio web de su banco u otro tipo de proveedor, reciben una notificación en la aplicación correspondiente en su teléfono que les solicita que verifiquen su identidad a través de esa notificación.
Este método de verificación es independiente del dispositivo en el que se inicia sesión y es mejor que los SMS o los OTP de autenticación, pero también hay ataques que pueden funcionar contra este método, dijo Allan. Un hacker podría intentar iniciar sesión repetidamente en la cuenta de una persona utilizando una contraseña robada y el usuario recibiría múltiples mensajes en su teléfono para verificar. Si la persona no presta mucha atención, o simplemente quiere dejar de ser molestada, podría hacer clic para verificar y así otorgarle al hacker acceso a la cuenta.
Opte por una clave de seguridad de hardware cuando sea posible
Una opción aún mejor es utilizar una llave de seguridad de hardware como Yubico. Una llave se puede utilizar con varias aplicaciones y servicios. Desde el punto de vista de la seguridad, es mejor que los SMS o una aplicación de autenticación, dijo Allan. Pero hay una inversión. Una llave puede costar entre 20 y 60 dólares o más y la gente tiene que tener cuidado de no perderla.
Tampoco es práctico en todas las situaciones. Un minorista en línea no va a darle una clave a cada uno de sus clientes por razones de costo y practicidad, dijo Thevenet.
Elimine las contraseñas de la ecuación con claves de acceso para múltiples dispositivos
Si bien no es necesariamente un reemplazo de un OTP, el uso de claves de acceso para múltiples dispositivos, que reemplazan la necesidad de contraseñas, hace que sea más difícil para un atacante ingresar a sus cuentas. Las claves de acceso consisten en una “clave privada” almacenada en la computadora o teléfono del usuario y criptografía de clave pública, según FIDO Alliance, una asociación industrial abierta enfocada en reducir la dependencia mundial de las contraseñas.
Además de eliminar algunas de las molestias que presentan las contraseñas, las claves de acceso protegen a los usuarios de los ataques de phishing porque funcionan únicamente en los sitios web y aplicaciones registrados. Aún existen algunas preocupaciones de seguridad, dijo Allan, pero al menos, “elimina las contraseñas de la ecuación, por lo que hace que sea más difícil para un atacante comenzar a usarlas en primer lugar”.
Desde un punto de vista regulatorio, las claves de acceso pueden no calificar como autenticación multifactor, pero aún así podrían ser más seguras que usar una contraseña y un SMS, dijo Allan.
Se espera que los OTP vía SMS sigan utilizándose y existe un riesgo
Existe una amplia variedad de opciones para que los usuarios administren sus inicios de sesión en línea con mayor atención a la seguridad, incluyendo administradores de contraseñaspero todos tienen riesgos y, hasta cierto punto, los consumidores están limitados por los métodos de autenticación que ofrecen los diferentes proveedores.
Dusty Anderson, directora ejecutiva de Protiviti y responsable de la práctica de identidad digital de la firma, tiene un cliente que gasta decenas de miles de dólares al mes para enviar OTP por SMS. A pesar de las preocupaciones de seguridad, el cliente se mantiene firme porque teme crear problemas, especialmente con clientes que no son tan expertos en tecnología y pueden mostrarse reacios a utilizar otro tipo de autenticador, afirmó.
Por esta y otras razones, Thevenet afirmó que es probable que los OTP sigan existiendo de alguna forma en el futuro cercano. Las opciones más comunes son de bajo costo y fáciles de usar, y a pesar de ciertos riesgos, estos métodos siguen siendo mejores que una simple contraseña, afirmó Thevenet. “¿Enviar OTP por SMS es la mejor solución? No. ¿Es mejor que una simple contraseña? Sí”.
