Durante años, todo el mundo ha estado dando conferencias sobre lo terrible que es la seguridad de la autenticación de mensajes de texto, incluido yo mismo. Ahora, debido a algunos excelentes informes de Vice, está claro que la situación del texto es mucho peor de lo que la mayoría pensaba. No es solo el envío de mensajes de texto lo que tiene fallas de ciberseguridad, sino que todo el espacio de telecomunicaciones que rodea a la infraestructura de texto es absolutamente abismal.
El ataque de sombrero blanco probado interceptó y redirigió todos los mensajes de texto de la víctima, pero no fue una adquisición técnica. El sombrero blanco (a quien el reportero de Vice le pidió que intentara robar sus mensajes de texto) simplemente pagó una pequeña tarifa ($ 16) a una empresa legítima de marketing de mensajes de texto y mensajes masivos llamada Sakari. El sombrero blanco tuvo que mentir sobre tener el permiso del usuario, pero no se requirió ninguna prueba significativa.
«Una vez que (el atacante) puede redirigir los mensajes de texto de un objetivo, puede ser trivial piratear otras cuentas asociadas con ese número de teléfono», cuenta la historia de Vice. «En este caso, (el atacante) envió solicitudes de acceso a Bumble, WhatsApp y Postmates y pudo acceder a las cuentas fácilmente».
Desde una perspectiva de seguridad de TI, esta historia se vuelve mucho más aterradora a medida que profundiza en lo desordenado que está todo el universo de las telecomunicaciones cuando se trata de proteger las comunicaciones de texto. Esta es otra razón por la que no se puede confiar en SMS para la autenticación o, en realidad, para casi todo.
Considere esto de la historia: «En el caso de Sakari, recibe la capacidad de controlar la redirección de mensajes de texto de otra compañía llamada Bandwidth, según una copia de la LOA (Carta de autorización) de Sakari obtenida de Motherboard. Bandwidth le dijo a Motherboard que ayuda a administrar la asignación de números y enrutamiento de tráfico a través de su relación con otra compañía llamada NetNumber. NetNumber posee y opera la base de datos centralizada y patentada que la industria usa para el enrutamiento de mensajes de texto, dijo Override Service Registry (OSR) Bandwidth «.
Durante años, el argumento clave en contra de confiar en las confirmaciones de mensajes de texto es que son susceptibles a ataques de intermediario, lo cual sigue siendo cierto. Pero este vistazo a la infraestructura con licencia para mensajería de texto significa que la verificación del texto se puede hacer mucho más fácil.
Hay muchas aplicaciones de fácil acceso que hacen que la autenticación de texto sea mucho más segura, como Google Authenticator, Symantec’s VIP Access, Adobe Authenticator y Signal. ¿Por qué arriesgarse a recibir mensajes de texto no cifrados y fácilmente robados para acceder a la cuenta o lo que sea?
Por ahora, dejemos de lado lo relativamente fácil y económico que es cambiar a una versión más segura de las confirmaciones de texto. Además, por ahora, dejemos de lado los riesgos operativos y de cumplimiento que está asumiendo su equipo al permitir que la empresa otorgue acceso a la cuenta a texto sin cifrar.
¿Qué tal si examinamos únicamente las implicaciones de riesgo y cumplimiento de ofrecer acceso a terceros a través de la autenticación de texto sin cifrar? Recuerde esto del artículo de Vice: «El (atacante) envió solicitudes de inicio de sesión a Bumble, WhatsApp y Postmates y tuvo fácil acceso a las cuentas».
Una vez que un villano toma el control de los mensajes de un cliente, se produce un gran efecto dominó, en el que se puede acceder de forma incorrecta a muchas empresas. ¿Qué pasa si un abogado de una de esas otras empresas ve su empresa como un bolsillo profundo y argumenta algo como «Si (su empresa) no hubiera desencadenado una reacción en cadena insegura al insistir en utilizar texto claro como autorización, mi cliente no habría me sentí cómodo haciendo lo mismo. Por lo tanto, (su empresa) debería cubrir nuestras pérdidas «. ¿Suena absurdo? Tal vez, pero antes de que sus empleados permitan que se procese un tema de este tipo, se contentarán con entregar una buena parte de su solicitud de aumento de presupuesto de TI para el próximo año.
Luego está la reacción (financiera, percepción de marca, comentarios desagradables en las redes sociales, reducción de nuevos clientes, etc.) de su base instalada y clientes potenciales, además de la posibilidad de litigio por su parte también.
¿Qué pasa con el cumplimiento? Hay dos argumentos típicos al intentar defender un comportamiento tan imprudente hacia los reguladores. Uno: «Esta era una práctica típica de la industria. Puedo proporcionar evidencia de que el 80% de nuestros competidores también lo han hecho». Dos: «En ese momento, no teníamos ninguna razón para creer que la seguridad de los textos sin cifrar fuera tan mala».
En cuanto al tema uno (práctica típica de la industria), esa defensa comenzará a desvanecerse rápidamente. Funcionará bien para defender esta práctica horrible para los negocios de 2020, pero las empresas comenzarán a retirarse en el verano.
En cuanto al tema dos (¿quién sabía?), Esta historia de Vice y la reacción a ella también cancelarán esa defensa.
No permita que su empresa sea la última de su industria en renunciar a los mensajes de texto no cifrados para su autenticación. Esas son las empresas que terminan pagando el precio más alto.
Copyright © 2021
