window.arcIdentityApiOrigin = "https://publicapi.elpais.noticiaspernambucanelpais.noticiaspernambucanas.com";window.arcSalesApiOrigin = "https://publicapi.elpais.noticiaspernambucanelpais.noticiaspernambucanas.com";window.arcUrl = "/subscriptions";if (false || window.location.pathname.indexOf('/pf/') === 0) { window.arcUrl = "/pf" + window.arcUrl + "?_website=el-pais"; }La verificación en dos pasos por SMS no es suficiente | Tu Tecnología | El País | EL PAÍSp{margin:0 0 2rem var(--grid-8-1-column-content-gap)}}@media (min-width: 1310px){.x-f .x_w,.tpl-noads .x .x_w{padding-left:3.4375rem;padding-right:3.4375rem}}@media (min-width: 89.9375em){.a .a_e-o .a_e_m .a_e_m .a_m_w,.a .a_e-r .a_e_m .a_e_m .a_m_w{margin:0 auto}}@media (max-width: 35.98em){._g-xs-none{display:block}.cg_f time .x_e_s:last-child{display:none}.scr-hdr__team.is-local .scr-hdr__team__wr{align-items:flex-start}.scr-hdr__team.is-visitor .scr-hdr__team__wr{align-items:flex-end}.scr-hdr__scr.is-ingame .scr-hdr__info:before{content:"";display:block;width:.75rem;height:.3125rem;background:#111;position:absolute;top:30px}}@media (max-width: 47.98em){.btn-xs{padding:.125rem .5rem .0625rem}.x .btn-u{border-radius:100%;width:2rem;height:2rem}.x-nf.x-p .ep_l{grid-column:2/4}.x-nf.x-p .x_u{grid-column:4/5}.tpl-h-el-pais .btn-xpr{display:inline-flex}.tpl-h-el-pais .btn-xpr+a{display:none}.tpl-h-el-pais .x-nf.x-p .x_ep{display:flex}.tpl-h-el-pais .x-nf.x-p .x_u .btn-2{display:inline-flex}.tpl-ad-bd{margin-left:.625rem;margin-right:.625rem}.tpl-ad-bd .ad-nstd-bd{height:3.125rem;background:#fff}.tpl-ad-bd ._g-o{padding-left:.625rem;padding-right:.625rem}.a_k_tp_b{position:relative}.a_k_tp_b:hover:before{background-color:#fff;content:"\a0";display:block;height:1.0625rem;position:absolute;top:1.375rem;transform:rotate(128deg) skew(-15deg);width:.9375rem;box-shadow:-2px 2px 2px #00000017;border-radius:.125rem;z-index:10}} Ir al contenido
_
_
_
_
TecnologíaTu Tecnología
Seguridad en Internet

La verificación en dos pasos por SMS no es suficiente

El teléfono móvil es una segunda llave idónea para permitir el a redes sociales y servicios, pero son preferibles las alternativas que eviten llamadas y mensajes de texto

Un cliente inspecciona el nuevo iPhone 8 en la tienda de Apple Orchard en Singapur.Vídeo: WALLACE WOON
Félix Palazuelos
Compartir en Facebook
Compartir en Twitter
Compartir en Bluesky
Compartir en Linkedin
Copiar enlace

Es de vital importancia que nuestros s a las cuentas que almacenan cada vez información más sensible e importante de nosotros sean seguros. Lo más seguros posibles; no existe el candado perfecto. El auge del smartphone y la creciente inquietud de los s por la seguridad de sus cuentas promovió el uso de s que se verifican dos veces: por contraseña y por un código extra que es enviado a un dispositivo al que se tiene físico.

El teléfono es el dispositivo predilecto, siempre va con nosotros, e inequívocamente añade una capa extra de seguridad. Pero no es la mejor cerradura para las cuentas bancarias, el correo electrónico o la cuenta de Instagram de una celebridad.

En Estados Unidos, los ciberdelincuentes realizan ataques de ingeniería social para tomar el control de las cuentas de las víctimas mediante intentos de portabilidad. Con los datos de su objetivo y paciencia, se hacen pasar por su víctima para obtener el control de su número de teléfono. Ese número, gracias a la verificación en dos pasos que implementan multitud de servicios, es una llave para entrar o recuperar la contraseña. Es una práctica popular para hacerse con los monederos de divisas digitales como el bitcoin.

También es posible infectar los smartphones con un troyano, un código malicioso que actúa como un caballo de Troya: pasa de forma desapercibida para obtener información y reenviarla al dispositivo que controla el cibercriminal. "Es una práctica que todavía se usa en teléfonos Android infectados a través de aplicaciones maliciosas", dice Sergio de los Santos, director de innovación y laboratorio en ElevenPaths, unidad especializada en ciberseguridad de Telefónica, a EL PAÍS. "El troyano puede reenviar los SMS que envía el banco, por ejemplo. También es posible que una aplicación no maliciosa se actualice con el paso del tiempo para realizar estos ataques aprovechando un despiste en los sistemas de revisión de la tienda de aplicaciones".

Es mejor verificarse en dos pasos que en uno, pero existen alternativas más seguras que los SMS

En 2015, Apple tuvo que purgar su tienda de aplicaciones porque se detectaron varias aplicaciones que introducían ataques informáticos a través de un kit de herramientas de desarrollo modificado e invisible durante meses a los ojos de la compañía norteamericana.

Más allá de la ingeniería social y los peligros de instalar aplicaciones de dudoso origen y propósito, los SMS cuentan con vulnerabilidades insalvables. El protocolo de comunicación que usan las operadoras para intercambiar información entre sí, SS7, es la principal. Un ciberdelincuente puede emplearlo a su favor haciendo creer que su dispositivo es el legítimo receptor de la información que ha de llegar a la víctima. Se pueden redirigir llamadas y mensajes de texto. "Estos ataques requieren un mayor esfuerzo y no son tan comunes, pero pueden ser empleados en ataques dirigidos a víctimas cuyos datos son de gran importancia para los hackers", dice De los Santos.

En Irán, la seguridad de Telegram fue vulnerada gracias a su dependencia del número de móvil y el envío de un SMS para la autenticación del .

Alternativas

Los SMS como autenticación en dos pasos son mejores que emplear sólo una contraseña como único credencial. Pero no son la mejor opción. Herramientas como Google Authenticator con más seguras al emplear cálculos matemáticos para generar un código de que no involucra la comunicación con el exterior. Es menos cómodo, y no todos los servicios permiten usarlo.

La seguridad es también responsabilidad de los servicios, que a veces no ofrecen las herramientas necesarias

La GSMA, organización internacional de operadoras móviles y compañías relacionadas, promueve Mobile Connect, un sistema que permite verificar a los s gracias al código único y cifrado que es almacenado en las tarjetas SIM de sus dispositivos. Orange, Vodafone y Movistar ya lo ofrecen, aunque el siguiente paso es que más servicios lo adopten.

Telefónica ofrece Latch, una herramienta que funciona como un pestillo. El consumidor puede activar o desactivar cualquier a su cuenta, de forma que sea totalmente inaccesible hasta que él abra el antes de entrar con su y contraseña de forma habitual. Es uno de los sistemas más seguros, pero también más complicados y tediosos de emplear.

Todavía hoy, servicios que cuentan con millones de s no ofrecen procesos de verificación en dos pasos y la mayoría no da soporte a Google Authenticator o similares. La seguridad, al fin y al cabo, es una responsabilidad compartida entre servicios, operadores y s.

Tu suscripción se está usando en otro dispositivo

¿Quieres añadir otro a tu suscripción?

Añadir Continuar leyendo aquí

Si continúas leyendo en este dispositivo, no se podrá leer en el otro.

¿Por qué estás viendo esto?

Flecha

Tu suscripción se está usando en otro dispositivo y solo puedes acceder a EL PAÍS desde un dispositivo a la vez.

Si quieres compartir tu cuenta, cambia tu suscripción a la modalidad , así podrás añadir otro . Cada uno accederá con su propia cuenta de email, lo que os permitirá personalizar vuestra experiencia en EL PAÍS.

¿Tienes una suscripción de empresa? Accede aquí para contratar más cuentas.

En el caso de no saber quién está usando tu cuenta, te recomendamos cambiar tu contraseña aquí.

Si decides continuar compartiendo tu cuenta, este mensaje se mostrará en tu dispositivo y en el de la otra persona que está usando tu cuenta de forma indefinida, afectando a tu experiencia de lectura. Puedes consultar aquí los términos y condiciones de la suscripción digital.

Más información

Policía antidisturbios en Egipto, en el sur de El Caíro, la semana pasada

Egipto espía las redes sociales con la ayuda de tecnología europea

Ricard González | Túnez

Los nuevos protectores de los datos

Carlos B. Fernández | Madrid

Archivado En

Recomendaciones EL PAÍS
Escaparate
escaparate
LO MÁS VENDIDO EN ESCAPARATE EN MAYO: La picadora manual multiusos más deseada de Amazon. SOLO 18,99€
LO MÁS VENDIDO EN ESCAPARATE EN MAYO: La picadora manual multiusos más deseada de Amazon. SOLO 18,99€
escaparate
El cargador solar más vendido: compacto, potente e inalámbrico. SOLO 42,99€
El cargador solar más vendido: compacto, potente e inalámbrico. SOLO 42,99€
escaparate
Luces solares flotantes que iluminan y limpian la piscina a la vez. SOLO 24,99€
Luces solares flotantes que iluminan y limpian la piscina a la vez. SOLO 24,99€
escaparate
Regleta múltiple para enchufes con 4 USB. SOLO 15,99€
Regleta múltiple para enchufes con 4 USB. SOLO 15,99€
Recomendaciones EL PAÍS
Centros
cursosonline
MBA Especialidad en International Business
MBA Especialidad en International Business
cursosonline
Maestría en istración de Empresas con Concentración en Contabilidad
Maestría en istración de Empresas con Concentración en Contabilidad
cursosonline
Máster en Gestión de Nóminas y Seguridad Social
Máster en Gestión de Nóminas y Seguridad Social
cursosonline
Máster en Marketing y Gestión Comercial
Máster en Marketing y Gestión Comercial
Recomendaciones EL PAÍS
Cursos
cursos
Global MBA
Global MBA
cursos
Maestría 'online' en Project Management
Maestría 'online' en Project Management
cursos
Maestría de Profesor de Inglés + Titulación Universitaria
Maestría de Profesor de Inglés + Titulación Universitaria
cursos
Licenciatura en Contaduría y Finanzas
Licenciatura en Contaduría y Finanzas
_
_