Desenmascarando los mitos del doble factor de autenticación: ¿Realmente es la clave para proteger tus cuentas?

Los controles de doble factor de autenticación pueden aumentar la protección de nuestras cuentas, pero usualmente, no se entiende correctamente el alcance que tienen y se ignora la infraestructura tecnológica que permite su efectividad.

Cada día es más común observar aplicaciones que, para identificarse y acceder como usuario, piden un código secreto adicional a la contraseña. Este código se conoce como segundo factor de autenticación, o 2FA por sus siglas en Inglés, y corresponde a una de las posibles opciones de controles de múltiples factores de autenticación (MFA), donde se encuentran también las huellas dactilares, la configuración específica de la retina e incluso algunos datos privados que sólo un puñado de personas debería conocer.

El fin de estos controles es agregar otro componente de seguridad a la contraseña común y, con esto, disminuir las probabilidades de abusar de claves que hayan sido filtradas o adivinadas. De esta manera, si un atacante conoce nuestra clave secreta, aún tendría que obtener este segundo factor de autenticación secreto para ingresar finalmente en la plataforma que desea atacar.

Hasta acá todo bien. Entonces ¿cuál es el problema?  Muchas veces se entienden los controles de segundo factor de autenticación como algo infalible e inquebrantable y se deposita una confianza acrítica en su efectividad sin considerar cómo funcionan realmente, y qué protegen en lo específico.

Pongamos como ejemplo el caso de los mensajes enviados por SMS: la aplicación genera un código secreto y envía este dato al número de teléfono registrado por el usuario, esperando que el usuario finalmente entregue el mismo código para así validar su identidad y permitir el acceso. Existen múltiples problemas asociados a este esquema, algunos relacionados con la implementación específica y otros relacionados con la propia naturaleza de los SMS: si el sitio web utilizado para validar el código secreto no implementa un control de iteraciones (usualmente un captcha), el atacante podría realizar ataques de fuerza bruta hasta dar con el código correcto.

Sin embargo, los problemas más preocupantes tienen que ver con la poca seguridad que existen en las plataformas de mensajes SMS. Por un lado se está asumiendo y confiando en que la empresa telefónica del número receptor tiene debidamente protegida la privacidad de los mensajes que recibe. También se debe tomar en consideración que la empresa de la aplicación probablemente contrata el servicio de un tercero que se encarga del envío de estos mensajes SMS, aumentando por lo tanto la cantidad de actores y factores de riesgo que puedan ser objeto de análisis y ataque. También son conocidos los ataques llamados SIM Swapping en donde el atacante logra volver a registrar el número de la víctima (usualmente mediante ataques de ingeniería social a la empresa telefónica) y, por lo tanto, puede recibir tanto mensajes SMS como llamadas telefónicas. Si un atacante logra una brecha en cualquier punto dentro del canal de envío de los mensajes SMS, probablemente podrá obtener el código que está siendo enviado y logrará su objetivo de evadir el segundo factor de autenticación como control de seguridad.

Por otro lado también es común confundir la eficacia de los controles de múltiples factores de autenticación con los efectos de su evasión: ¿qué sucede si una persona es víctima de un ataque de phishing, le engaña para que ingrese usuario y contraseña y luego le presenta la pantalla para ingresar el segundo factor de autenticación?. Sería lógico esperar que el proceso de identificación falle debido a la presencia del 2FA. Lamentablemente es posible configurar plataformas “puente” que se presenten como la verdadera página web para la persona víctima del phishing y que simulen ser la persona a la vista de la página original, recibiendo y re-enviando mensajes desde un lado hacia el otro para eventualmente capturar el dato que realmente se necesita para acceder a un sitio web: las Cookies de sesión. Las Cookies (o en algunos casos los tokens de sesión) son datos temporales que identifican una instancia específica de un usuario en un periodo de tiempo acotado. Con estas Cookies el sitio web puede saber que está interactuando con una persona en particular en vez de tener que pedir nombre de cuenta y contraseña para cada clic y acción que realice el usuario. Indiferente si el control de segundo factor de autenticación se realizó mediante SMS o correo o mediante alternativas más seguras, una vez que el atacante tiene una Cookie de sesión válida, va a poder utilizar la plataforma en nombre de la víctima.

No todo está perdido, existen varias tecnologías de múltiples factores de autenticación que son difíciles de vulnerar y que permiten un mayor grado de confianza en relación a la probabilidad que un atacante tenga las condiciones de evadir los esfuerzos de seguridad implementados. Entre algunas de estas opciones está la tecnología FIDO2 (anteriormente U2F) que permite a un dispositivo físico identificar de manera certera el origen de la consulta del 2FA y entregar el dato secreto sí y sólo sí este coincide con su base de datos interna, evitando que los usuarios ingresen códigos en ataques de phishing y otro tipo de engaños relacionados. Los dispositivos más comunes de este estilo son las llaves de seguridad o USBs 2FA que permiten integración mediante USB o NFC. Alternativamente se puede evaluar la opción de soluciones secreto basado en tiempo o TOTP, en donde la aplicación establece un secreto inicial con el usuario y a partir de ese momento no existen más comunicación: ambos tienen el secreto y pueden generar un código que dependerá únicamente de la hora y fecha actual para generar el mismo código secreto en un instante determinado. Si bien este tipo de tecnología puede ser evadida engañando al usuario en ataques de ingeniería social tipo phishing, depende de menos actores que su alternativa en mensajes SMS, pudiendo considerarse más segura.

Los controles de doble factor de autenticación son un aporte real en la seguridad de la gestión de nuestras cuentas, pero es necesario que se pueda entender y tomar en cuenta su contexto para que los planes de seguridad relativos a la detección y mitigación de ataques digitales tenga casos bien definidos y expectativas realistas. Sólo de esta manera los controles de seguridad pueden ser aplicados correctamente en nuestras organizaciones.