Lamentablemente, los hackers no siempre necesitan un malware para poder obtener tus datos personales. Usan tácticas maliciosas de phishing de diversas maneras y, aunque no lo parezca, el inicio de sesión por SMS es una de las cosas que aprovechan.
Los enlaces de autenticación en mensajes para WhatsApp, Telegram, Instagram, Gmail, Outlook y otras plataformas en las que normalmente inicias sesión desde tu smartphone, están en constante riesgo debido a que muchos de estos servicios emplean tokens débiles.
Diversas vulnerabilidades en este método de acceso causan problemas críticos para cualquier usuario. Con esta brecha abierta, tienen la capacidad de robar información personal sin tener que hacer uso de malware o estrategias más sofisticadas.
¿Por qué los enlaces de inicio de sesión por SMS son un riesgo?
Iniciar sesión con enlaces vía SMS en tus redes sociales o apps de banco es algo que puede traer muchos inconvenientes digitales y es que desde el estudio publicado por arxivadvierten que varios expertos afirman que hay grandes vulnerabilidades en estos sistemas.
La ciberseguridad de millones de usuarios se ve afectada porque es algo muy común entre las personas que se ahorran el hecho de tener que usar contraseñas.
Sin embargo, el informe compartido muestra un análisis de más de “322.000 URL únicas enviadas por SMS extraídas de más de 33 millones de mensajes en más de 30.000 números de teléfono”. De esta manera, una gran parte han sido detectadas como elementos enviados por “un canal de comunicación no cifrado”.
Dichos Los mensajes SMS contienen hasta 177 servicios digitales. de distintas compañías conocidas. Estos contienen bases de datos de contraseñas o códigos entregados por medio de la autenticación, siendo puntos vulnerables a la intercepción.
¿Por qué son susceptibles a los ciberataques? Según el estudio, la mayoría de los tokens son de “baja entropía”. Esto quiere decir que los ciberdelincuentes tienen más posibilidades de adivinarlos o robarlos. De hecho, “125 servicios que permiten la enumeración masiva de URL válidas”.
Son tan predecibles que, utilizando ataques de enumeración, consiguen acceder a cuentas de las víctimas, sin necesidad de instalar software malicioso. Además, está la preocupación de que se ha alertado a 150 proveedores, de los cuales solo 18 realizaron las correcciones y mejoras necesarias para la protección.
Al no contar con verificaciones adicionales en este proceso, el propio sistema recibe el código como un “único factor de validación”permitiendo el paso aunque no sea el individuo adecuado.
Sin el cifrado robusto, los mensajes de texto son interceptados por los hackers que aprovechan las “puertas de enlace públicas” y así suplantan identidad, roban dinero o hacen otras acciones.
¿Cómo protegerte de las vulnerabilidades de los SMS para iniciar sesión?
A pesar de eliminar virus en el móvil Android o iPhone, la vulnerabilidad continúa estando por la dependencia estructural de los proveedores. Hasta no estar del todo seguro, se recomienda que se mueva la seguridad digital a métodos que no requieren únicamente de la red móvil.
Por suerte, tienes diversas alternativas que funcionan incluso mejor y evitan ese tipo de debilidades. Una buena elección son las Aplicaciones de Autenticación (TOTP) como Google Authenticator o Microsoft Authenticator, pero la idea no es solamente usar un sistema de protección.
Claves de paso con huella o rostro, llaves de seguridad físicas o el propio PIN de la tarjeta SIM son otras opciones que suman. Sea como sea, cerrar las sesiones de las plataformas periódicamente es crucial para detener los procesos de los intrusos, en el caso de que se estén ejecutando.
