Web Analytics
Conecta con nosotros

Noticias

Microsoft recomienda no utilizar la autenticación basada en telefonía

Publicado el
autenticación

La autenticación basada en telefonía no es segura y, por lo tanto, no es recomendable, al existir alternativas que sí lo son y que están al alcance de cualquier usuario. Es la advertencia que lanza Alex Weinert, Director de la división de Seguridad de Identidades en Microsoft y, por supuesto, está bien fundada, como por otra parte ya se sabía.

Cabe aclarar que cuando hablamos de autenticación basada en telefonía, nos referimos al proceso de verificación adicional a la contraseña de rigor utilizando los canales de comunicación propios de la red telefónica, no al dispositivo en sí; y cuando lo hacemos de autenticación, nos referimos a la doble autenticación, autenticación multifactor, etc., un método cada vez más popular para asegurar las cuentas en línea que ofrece una eficacia probada, pero que por lo general se realiza a través de llamadas y SMS.

Este tipo de doble autenticación es la más utilizada porque es la más veterana, pero precisamente por eso no es la más segura, ya que depende de tecnología que no fue diseñada para tales menesteres. «Cuando se desarrollaron los protocolos de voz y SMS, se diseñaron sin cifrado. Desde una perspectiva de usabilidad práctica, no podemos superponer el cifrado en estos protocolos porque los usuarios no podrían leerlos (también hay otras razones, como la saturación de mensajes, que han impedido que estos se apoderen de los protocolos existentes)», explica Weinert.

En otras palabras, la autenticación mediante las redes de telefonía tradicionales puede ser fácilmente interceptada, así como presentar otros problemas que no se suelen tener en cuenta, pero cuya incidencia puede ser incluso más probable: ¿qué sucede si no tienes cobertura, si pierdes el móvil o, en un caso extremo, si alguien logra suplantar tu identidad vete tú a saber cómo? De ahí que la recomendación de Weinert sea utilizar la autenticación con aplicaciones y, si es posible, la autenticación con llaves de seguridad, dispositivos físicos.

Sin embargo, mientras que las llaves de seguridad son utilizadas habitualmente solo por usuarios avanzados, la doble autenticación basada en telefonía está muy extendida y cambiar el mecanismo para que se realice únicamente por software consiste en instalar la aplicación de turno y poco más, por lo que está realmente al alcance de cualquier usuario. Como no podía ser de otra manera, Weinert recomienda Microsoft Authenticator, disponible para Android e iOS, pero también está -de hecho, es mucho más popular- Google Authenticator.

Pero ¿y si pierdes el móvil en el que tienes instalada la aplicación de autenticación? Pues resulta que también puedes realizar el proceso en el PC o en un segundo móvil, siempre que lo hayas configurado todo como corresponde, que es lo que deberías hacer en todos los casos, si te importa tu información. El cómo lo dejamos para otro día, pero a poco que busques, lo encontrarás.

Enfocado en las nuevas tecnologías empresariales y de usuario final. Especializado en Linux y software de código abierto. Dirijo MuyLinux y escribo en MC, MCPRO y MuySeguridad, entre otros.

2 comentarios
  • Invitado

    «Hagan lo que digo, pero no lo que hago». Pero si ellos mismos exigen enlazar un número de teléfono para la cuenta Microsoft. Sí, también podemos usar una aplicación para generar los códigos OTP, pero solamente sí tenemos enlazado primero un número de teléfono a la cuenta. ¿Qué pasa si pierdes la aplicación que genera el código? Te envían un SMS…

  • yo uso y recomiendo Authy, permite generar el código desde un segundo dispositivo, si perdiste el teléfono. Los otros 2 tambien lo permiten?

Lo más leído