Los antiguos números de móvil pueden comprometer sistemas con MFA inseguros
La autenticación multifactor (MFA, por sus siglas en inglés), añade una capa de seguridad en los inicios de sesión que resulta fundamental para evitar accesos indeseados. Este proceso de verificación emplea un segundo dispositivo —en propiedad del usuario— como elemento adicional de verificación de identidad, al que se envía (o genera) un token que certifica la veracidad del acceso. Los sistemas más seguros de MFA emplean aplicaciones para generar códigos temporales, pero son muchos los que se siguen basando en el envío de mensajes de texto al móvil (OTP). Sin embargo, este último método puede resultar inefectivo y peligroso para la seguridad del usuario: ¿qué pasa cuando su viejo número de móvil cae en manos de terceros? A este respecto, un estudio ha alertado sobre los riesgos de reutilizar antiguos números de móvil.
No suele ser muy habitual que el propietario de un número de línea móvil lo abandone por una nueva numeración, pero puede darse el caso cuando el operador ofrece atractivas ofertas mediante nuevas altas. También puede suceder que el propietario tarde en comunicar el nuevo número para ser utilizado como MFA. En esta circunstancia, las empresas de telefonía “reciclan” esos viejos números de teléfono que terminan en poder de nuevos usuarios. Hasta aquí, no parece que haya ningún problema, salvo que los citados números estén asociados a una MFA. La Universidad de Princeton ha publicado un estudio alertando sobre los riesgos derivados de la reutilización de números de teléfono en Estados Unidos, una práctica habitual en los operadores.
Los viejos números de móvil, puerta de acceso para los ciberdelincuentes
El estudio revela datos alarmantes: hasta un 66% de los números reutilizados analizados seguían estando vinculados mediante MFA a sus anteriores titulares. Este hecho plantea un doble problema para el anterior propietario: si el nuevo titular de la línea móvil lo deseara, podría acceder a su cuenta ejecutando la autenticación multifactor, pero además el anterior propietario no tendría forma de recuperar su contraseña en caso de olvido (ni podría conectarse desde un dispositivo nuevo).
A modo de ejemplo que deja patente la gravedad del asunto, el estudio refleja el caso de un titular de un número reutilizado, que comenzó a recibir mensajes de texto recordando una cita médica de su anterior propietario. Considerando de la MFA es aplicable asimismo a servicios bancarios, de almacenamiento de datos y fotos en la nube, el potencial daño es evidente si este número cae en manos malintencionadas. ¿Por qué, entonces, reutilizan los operadores los números de teléfono? Por una mera cuestión de limitación: España cuenta con una tasa de penetración de móviles de aproximadamente el 112% (datos de la CNMC, 2019), esto es, hay ocho millones más de líneas que habitantes. Con estas cifras, es fácil comprender que las numeraciones se agoten y los operadores corran a reutilizarlas.
Proteger la seguridad del usuario a través de MFA no vinculada a la numeración
Más allá de concienciarse sobre el riesgo de olvidar la vinculación MFA del viejo número móvil en caso de cambio de numeración, resulta determinante blindar los móviles de las organizaciones de forma que no dependan únicamente del envío de un tokens al número de teléfono. Lo más seguro es, en este caso, vincular la autenticación del usuario con el propio móvil y no su línea de teléfono, o lo que es lo mismo, emplear el ADN del teléfono móvil para verificar la autenticidad del usuario, de forma que no se pueda repetir el token en el mismo dispositivo.
Watchguard AuthPoint reúne las capacidades de seguridad todos los elementos para que los MSP garanticen una protección óptima de los dispositivos móviles de sus clientes corporativos que confían en sus soluciones. Esta sofisticada herramienta basa la MFA en el propio ADN del móvil, de forma que se garantiza que cada dispositivo cuente con una firma única e irrepetible que no puede replicarse en otro teléfono y que no depende del número de teléfono. Su gestión se hace directamente desde la nube, desde donde se pueden administrar las alertas de inicio de sesión, así como los tokens generados. Watchguard AuthPoint garantiza unos inicios de sesión seguros y sin necesidad de gestionar los tokens, ya que pueden autenticarse mediante la aplicación en el móvil.