Verificación en dos pasos de Google: Passkeys vs SMS

Descubre cómo las passkeys y llaves de seguridad pueden protegerte mejor que los SMS en la verificación en dos pasos.

Las vulnerabilidades del SMS en la autenticación de dos factores

El uso de SMS para la autenticación de dos factores presenta varias debilidades de seguridad inherentes que pueden ser explotadas por atacantes. Los mensajes SMS generalmente se transmiten sin cifrar a través de las redes de telefonía móvil, lo que significa que si un atacante logra interceptar la comunicación, puede leer el contenido del mensaje, incluyendo los códigos de verificación de un solo uso.

Los atacantes pueden utilizar técnicas de ingeniería social para convencer a las compañías de telefonía móvil de que transfieran el número de teléfono de la víctima a una tarjeta SIM que controlan. Una vez que el número de teléfono ha sido transferido, el atacante puede recibir todos los mensajes SMS y las llamadas telefónicas dirigidas a la víctima, incluyendo los códigos de verificación de dos factores. También hay operadores de red como Sakari que ofrecen servicios para recibir los SMS de tu número y podrían ser engañados para que lo activen. Además, existen vulnerabilidades en el protocolo SS7 utilizado por las redes de telefonía móvil, lo que permite interceptar mensajes SMS sin necesidad de comprometer directamente el dispositivo del usuario.

Debido a estas significativas vulnerabilidades, los expertos en seguridad, e incluso Google, desaconsejan el uso de SMS para la autenticación de dos factores cuando existen alternativas más seguras disponibles. Agencias gubernamentales como el FBI y la CISA también han emitido advertencias sobre los riesgos de utilizar SMS para la 2FA, recomendando a los usuarios que opten por métodos de autenticación más robustos. La prevalencia de técnicas como el SIM swapping y la interceptación de SMS hacen que este método sea cada vez menos confiable para proteger cuentas sensibles.

Cómo las passkeys y las llaves de seguridad mejoran tu seguridad

Las passkeys (también llamadas claves de acceso o llaves de acceso) y las llaves de seguridad ofrecen una protección mucho más robusta comparada con los SMS. Las llaves de seguridad son dispositivos físicos o integrados en los teléfonos que verifican la legitimidad de la página de inicio de sesión y son altamente resistentes a los intentos de phishing. Estas llaves pueden conectarse a través de USB, Bluetooth o NFC, y se recomiendan especialmente para administradores y usuarios con acceso a información sensible.

Las passkeys, por otro lado, utilizan la autenticación biométrica del dispositivo, como huellas dactilares o reconocimiento facial, o el bloqueo de pantalla, como un PIN o patrón. Este método es resistente al phishing y más fácil de usar que las contraseñas tradicionales, proporcionando una seguridad robusta sin la necesidad de recordar contraseñas complejas.

El incidente de seguridad en Google Workspace: una lección aprendida

Un incidente de seguridad reciente en Google Workspace del que hemos sido testigos, subraya las vulnerabilidades de la autenticación de dos factores basada en SMS. En este caso, la cuenta de un usuario fue comprometida a pesar de tener habilitada la autenticación de dos factores. El atacante, ubicado en Rusia, utilizó el teléfono móvil del usuario como segundo factor para acceder a la cuenta.

Se sospecha que esto pudo haberse logrado mediante la clonación del dispositivo o la interceptación del mensaje SMS con el código de verificación. Este incidente destaca la necesidad de adoptar métodos de autenticación más seguros, como las llaves de seguridad y las passkeys, para proteger las cuentas de Google Workspace contra ataques sofisticados.

Mejores prácticas para proteger tu cuenta de Google

Para proteger adecuadamente tu cuenta de Google, es fundamental aplicar contraseñas fuertes y únicas, y utilizar métodos de autenticación multifactor resistentes al phishing, como las llaves de seguridad o las claves de acceso. Deshabilitar métodos de autenticación menos seguros, como el SMS, también es crucial.

Además, se recomienda auditar regularmente el acceso de aplicaciones de terceros, implementar políticas de prevención de pérdida de datos (DLP), y educar a los usuarios sobre las tácticas de phishing y la ingeniería social. Utilizar el Centro de Seguridad de Google Workspace y establecer planes de respuesta a incidentes también son prácticas recomendadas para fortalecer la seguridad.

El Programa de Protección Avanzada de Google: ¿es adecuado para ti?

El Programa de Protección Avanzada (APP) de Google ofrece el nivel más alto de seguridad para las cuentas de usuarios que están en alto riesgo de sufrir ataques en línea dirigidos. Este programa está diseñado para proteger a individuos como periodistas, activistas, líderes empresariales y administradores de TI, quienes manejan información sensible y pueden ser blanco de ataques sofisticados.

El APP exige el uso de llaves de seguridad físicas o claves de acceso para iniciar sesión, limita el acceso de terceros a los datos de la cuenta y realiza comprobaciones adicionales en las descargas para asegurarse de que sean seguras. Este programa crea una postura de seguridad mucho más resistente en comparación con la autenticación de dos factores estándar y es altamente recomendable para usuarios y organizaciones de alto riesgo.