Microsoft abandona la autenticación de dos factores por SMS por ser fácil de hackear
El gigante tecnológico Microsoft ha comenzado a preparar el terreno para dejar atrás uno de los métodos de autenticación y seguridad más utilizados y, al mismo tiempo, más débiles en las cuentas personales; la autenticación de 2 factores (2FA) por medio de mensajes de texto o SMS y los códigos de un solo uso enviados por mensaje de texto.
La empresa ha considerado que este sistema se ha convertido en una de las principales puertas de entrada para el fraude digital, por lo que está empujando a los usuarios a opciones más robustas como las claves de acceso, su propia aplicación Microsoft Authenticator o el correo electrónico verificado.
Este cambio puede afectar a las cuentas personales de Microsoft empleadas para acceder a servicios tan extendido como el propio Windows, Microsoft Office, OneDrive y Xbox. En la práctica, esto significa que millones de usuarios que todavía dependen de un código recibido por SMS para iniciar sesión o recuperar su cuenta, van a tener que adoptar métodos alternativos.
Esto no se trata de una simple recomendación estética ni de caprichos técnicos, ya que Microsoft lleva años advirtiendo que los SMS y las llamadas de voz son mecanismos débiles frente a amenazas actuales. El problema es que el mensaje de texto surgió para comunicarse, no para la protección de identidades digitales.
Aunque durante mucho tiempo ha sido visto como una capa adicional de seguridad, los hackers maliciosos aprendieron a explotar sus puntos débiles. Uno de los ciberataques más conocidos es el intercambio de SIM, una estafa en la que los atacantes engañan a una operadora móvil para transferir el número telefónico de la víctima a otra tarjeta SIM bajo su control.
Una vea que se logra esto, pueden recibir los códigos de verificación y acceder a cuentas protegidas, aunque no tengan el dispositivo original en sus manos. A esto se suman otros riesgos, debido a que los mensajes pueden ser interceptados en determinadas partes de la infraestructura telefónica, especialmente cuando se explotan debilidades de las redes móviles.
Del mismo modo, pueden ser utilizados en campañas de phishing, en donde el usuario cree estar introduciendo su código en un sitio web legítimo, cuando en realidad se lo está entregando al atacante de forma directa. El mensaje de texto, además, no ofrece cifrado de extremo a extremo robusto en su recorrido por la red y puede fallar por problemas de cobertura, retraso, bloqueo de operadores o pérdida de acceso al número.
TIC Defense es una empresa que se enfoca en la prevención y en ofrecer respuesta rápida a todo tipo de incidentes maliciosos, todo ello mediante un conjunto de productos y servicios de última tecnología, los cuales aumentan las defensas informáticas y se adaptan a las necesidades de las organizaciones.
Ante este nuevo panorama, el gigante tecnológico ha estado promoviendo métodos modernizados y difíciles de manipular, como las claves de acceso, también conocidas como passkeys, las cuales funcionan por medio de credenciales criptográficas vinculadas al dispositivo de los usuarios.
En lugar de recibir una contraseña o copiar un código temporal, el usuario confirma su identidad empleando elementos como el reconocimiento biométrico, el PIN del dispositivo o una llave de seguridad compatible. Este modelo mitiga de manera importante el riesgo de phishing, debido a que la credencial no se puede copiar u pegar en una página de Internet falsa o reutilizarse fuera del entorno para el que ha sido creada.
