Publicación: 07.03.2017
Última actualización: 26.10.2017
Servicios SMS

¿Es segura la autenticación basada en SMS?

securityparablog
¿Es segura la autenticación basada en SMS?
5 (100%) 4 votes

El número de usuarios de aplicaciones web y móviles se ha incrementado hasta tal punto que es difícil distinguir entre los que buscan un acceso fácil a todo tipo transacciones electrónicas y los auténticos ciberdelincuentes.

Muchas marcas y empresas han tenido que recurrir a sistemas de seguridad en sus medios electrónicos para hacer más sencilla la vida a los primeros y complicar su trabajo a los segundos. Y enviar un mensaje SMS se ha convertido en un primer paso para asegurar la autenticación de la identidad del usuario.

Las contraseñas de un solo paso basado en SMS (OTP, acrónimo de One Time Password) necesitan un refuerzo y por eso apareció el concepto de autenticación en dos pasos (2FA, abreviatura de Two Factor Authentication). Se trata de un método más seguro que el primero, pero que necesita un rigor absoluto en su aplicación para ser verdaderamente seguro.

El 2FA basado en SMS es fácil de poner en marcha, es rentable y proporciona una facilidad de uso evidente a los usuarios, ya que están habituados a utilizar este tipo de sistemas para acceder a sus cuentas electrónicas. Como por ejemplo en operaciones bancarias, donde las órdenes son confirmadas tras introducir un código enviado en un mensaje SMS al cliente.

La autentificación de un solo paso con SMS

El OTP basado en SMS tiene varios usos. Uno de ellos es evitar la recepción de spam. Vincular una cuenta de usuario a un número de teléfono se convierte en un método mucho más eficaz que usar una dirección de correo electrónico o emplear las cuentas de redes sociales. La verificación telefónica basada en SMS es muy popular y es utilizada por aplicaciones con un gran número de usuarios, incluso algunos servicios de correo electrónico.

El OTP es muy efectivo, ya que su uso es rápido y de bajo coste. Prácticamente todos los consumidores del mundo pueden recibir y enviar un mensaje SMS, al menos los que tienen un móvil, que ni siquiera tiene que ser un smartphone. Incluso hay servicios gratuitos que permiten verificar únicamente números de teléfono móvil. Además, el código de verificación expira en un corto período de tiempo (generalmente 5 minutos).

La verificación vía SMS en dos pasos

La contraseña de un solo paso es en realidad el primero de los dos pasos de la autenticación 2FA. Sin embargo el tráfico de datos, como el envío de mensajes SMS, ha topado con los requerimientos adicionales de seguridad recomendados por una agencia gubernamental de Estados Unidos, que ha redactado unas directrices que deben cumplir los organismos dependientes de la Administración.

El Instituto Nacional de Estándares y Tecnología (NIST), está de acuerdo en que el uso de un nombre de usuario y/o una contraseña junto con el sistema OTP vía SMS es mucho más seguro que las contraseñas estáticas. Pero recomienda utilizar características biométricas como uno de los pasos de autenticación.

Si estamos hablando de marcas y empresas comerciales, este caso representa un exceso de celo que los usuarios pueden llegar a rechazar. Así que si realmente no es necesario, no hace falta habilitar la opción de reforzar un sistema 2FA basado en SMS con este tipo de contraseñas.

Uso de dispositivos únicos en los sistemas de verificación vía SMS

Otra forma de incrementar la seguridad de las verificaciones basadas en el envío de SMS es utilizar sistemas que limiten a un solo dispositivo el uso de un mismo proceso de autenticación. Incluso que sean capaces de detectar el intercambio de la tarjeta SIM en el dispositivo registrado y evitar la multiplicidad de usuarios (al menos en apariencia) con un solo registro.

De todos modos, queda en manos de cada empresa la evaluación del uso que se quiere dar a su proceso de autenticación de usuarios. La finalidad del registro hará necesarios requisitos de seguridad diferentes. Y la interacción del usuario con el sistema de autenticación, si su experiencia es positiva o negativa, debe ser muy tomada en cuenta antes de seleccionar el método de autenticación para su implementación. Pero siempre teniendo en cuenta que en la era de la mensajería móvil, el público todavía valora positivamente la privacidad de los SMS.