Todo el mundo le ha enseñado a TI lo horrible que es la seguridad al enviar números SMS para autenticación durante años, incluido yo mismo. Ahora, gracias a algunos excelentes informes de Vice, está claro que la situación del texto es mucho peor de lo que casi todos pensaban. No solo los mensajes de texto tienen fallas de ciberseguridad inherentes, sino que todo el espacio de telecomunicaciones que rodea a la infraestructura de texto es absolutamente espantoso.
El ataque de sombrero blanco demostrado interceptó y redirigió todos los mensajes de texto de la víctima, pero no fue una toma de control técnica. El sombrero blanco (a quien el periodista Vice le pidió que intentara robar sus mensajes de texto) simplemente pagó una pequeña tarifa (€ 16) a una empresa legítima de mensajería y marketing por SMS llamada Sakari. El sombrero blanco tenía que mentir con el permiso del usuario, pero no se solicitó ninguna prueba significativa.
"Una vez que (el atacante) puede redirigir los mensajes de texto de un objetivo, entonces puede ser trivial piratear otras cuentas asociadas con ese número de teléfono", dice la historia de Vice. "En este caso, (el atacante) envió solicitudes de inicio de sesión a Bumble, WhatsApp y Postmates, y accedió fácilmente a las cuentas".
Desde la perspectiva de la seguridad informática, esta historia se vuelve mucho más aterradora, ya que explora lo complicado que es todo el universo de las telecomunicaciones cuando se trata de proteger las comunicaciones de texto. Esta es otra razón más por la que no se puede confiar en SMS para la autenticación o, en realidad, para casi todo.
Considere esto de la historia: "En el caso de Sakari, se le da la capacidad de controlar el reenvío de mensajes de texto de otra compañía llamada Bandwidth, según una copia de la LOA (Carta de autorización) de Sakari obtenida por Motherboard. Bandwidth le dijo a Motherboard que ayuda a administrar la asignación de números y el enrutamiento del tráfico a través de su relación con otra compañía llamada NetNumber. NetNumber posee y opera la base de datos centralizada y patentada que utiliza la industria para el enrutamiento de mensajes de texto, servicios de reemplazo de registro (OSR), dijo Bandwidth ".
Durante años, el argumento clave en contra de confiar en las confirmaciones de SMS ha sido que son susceptibles a ataques de intermediario, lo cual sigue siendo cierto. Pero esta descripción general de la infraestructura permitida para los mensajes de texto significa que las adquisiciones de texto pueden ocurrir mucho más fácilmente.
Hay muchas aplicaciones de fácil acceso que hacen que la autenticación basada en texto sea mucho más segura, como Google Authenticator, Symantec VIP Access, Adobe Authenticator y Signal. ¿Por qué arriesgarse a mensajes de texto no cifrados y fácilmente robados para acceder a la cuenta o para cualquier otra cosa?
Por ahora, dejemos de lado el hecho de que es relativamente fácil y económico cambiar a una versión más segura de las confirmaciones de texto. Por ahora, también dejemos de lado los riesgos operativos y de cumplimiento que su equipo asume al permitir que la empresa otorgue acceso a la cuenta a los textos no cifrados.
¿Qué tal si solo observamos los riesgos y las implicaciones de cumplimiento de ofrecer acceso de terceros a través de la autenticación de texto sin cifrar? Recuerde esto del artículo de Vice: "El (atacante) envió solicitudes de inicio de sesión a Bumble, WhatsApp y Postmates, y accedió fácilmente a las cuentas".
Una vez que un malo toma el control de los mensajes de texto de un cliente, se produce un gran efecto dominó, en el que se puede acceder de manera deficiente a muchas empresas. ¿Qué pasa si un abogado de una de estas otras empresas ve su negocio como un bolsillo profundo y argumenta algo como "Si (su negocio) no hubiera desencadenado una reacción en cadena insegura al insistir en usar textos no cifrados como autorización, mi cliente no se sintió cómodo haciendo lo mismo. Por lo tanto, (su empresa) debería cubrir nuestras pérdidas. ”¿Suena absurdo? Tal vez, pero antes de que su personal permita que tal argumento llegue a los tribunales, se resolverán entregando una buena parte de su solicitud de aumento de presupuesto de TI para el próximo año.
Ensuite, il y a le retour de flamme (financier, perception de la marque, commentaires désagréables sur les médias sociaux, réduction du nombre de nouveaux clients, etc.) de votre base installée et de vos prospects, ainsi que de la possibilité de litiges de su parte.
¿Qué pasa con el cumplimiento? Hay dos argumentos típicos cuando se trata de defender un comportamiento tan imprudente con los reguladores. Primero: "Era una práctica típica de la industria. Puedo demostrar que el 80% de nuestra competencia también lo hizo". Dos: "En aquel entonces, no teníamos ninguna razón para creer que la seguridad de los textos sin cifrar fuera tan mala".
En cuanto al argumento uno (práctica típica de la industria), esa defensa comenzará a desaparecer rápidamente. Funcionará bien para defender esta horrible práctica para el negocio de 2020, pero las empresas comenzarán a retirarse este verano.
En cuanto al argumento dos (¿quién sabía?), Esta historia de Vice y su reacción también van a aplastar esa defensa.
No permita que su empresa sea la última en su industria en deshacerse de los mensajes de texto no cifrados para la autenticación.
<p>Copyright © 2021 IDG Communications, Inc.</p>