TeraGames / InsurgentePress, Ciudad de México.- Estos sistemas permiten añadir una capa más de seguridad al obligarnos a completar el proceso con nuestro móvil, en el que recibimos un número PIN por SMS para luego introducirlo en el servicio correspondiente. El problema es que los SMS son vulnerables, así que la autenticación en dos pasos debería plantearse de otro modo. Google, por cierto, ya lo hace.
Uno de los problemas de este tipo de mensajes es que la ingeniería social puede funcionar: hace poco un activista político que usaba ese sistema de autenticación se dio cuenta de que en su cuenta de Twitter aparecían mensajes pro-Donald Trump: el hacker que ya había logrado su usuario y contraseña se había hecho pasar por el activista en su operadora móvil y había logrado que redireccionaran sus llamadas y mensajes a otro número de móvil.
El problema es que la autenticación en dos pasos se basa en un principio muy simple: combinar “algo que solo tú sabes” (tu contraseña) con “algo que solo tú tienes” (tu teléfono, tu huella dactilar, tu iris). El problema es que esa segunda parte de la ecuación no es proporcionada del todo por el sistema de autenticación en dos pasos, ya que como hemos visto los mensajes SMS se pueden redireccionar… o interceptar.
Google -que ya tenía Authenticator para esta capacidad- solucionó parte del problema la semana pasada al lanzar Google Prompt, un sistema que hace que esa verificación no se envíe a través de mensajes SMS, sino desde los servidores de Google, algo que hace más complejo interceptarlos. Hay otros sistemas -como los generadores de tokens que se usan en algunos bancos- pero parece que la propuesta de Google es especialmente interesante de cara al futuro: puede que otros servicios acaben aprovechando esa misma idea y adaptándola.
