La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) ha publicado un aviso integral que advierte a los usuarios sobre los riesgos de confiar en el servicio de mensajes cortos (SMS) para la autenticación multifactor (MFA).
Esta recomendación forma una parte central de La nueva “Guía de mejores prácticas en comunicaciones móviles”de CISA, que tiene como objetivo fortalecer la seguridad de las comunicaciones móviles, particularmente para las personas objetivo de ciberataques sofisticados.
La El aviso, publicado el 18 de diciembre de 2024, se produce en medio de crecientes amenazas cibernéticas, particularmente de actores patrocinados por el estado que apuntan a comunicaciones confidenciales.
“SMS MFA no es resistente al phishing y, por lo tanto, no es una autenticación sólida para cuentas de personas altamente específicas”, afirma el aviso, subrayando el llamado de la agencia a favor de alternativas más seguras como los protocolos de autenticación Fast Identity Online (FIDO).
Relacionado: Se expone una laguna jurídica crítica de Microsoft MFA Millones de cuentas de usuario
Por qué SMS MFA es vulnerable
La MFA basada en SMS ha sido durante mucho tiempo una opción popular para proteger cuentas en línea debido a su simplicidad y adopción generalizada. Sin embargo, CISA identifica dos vulnerabilidades importantes que hacen que SMS MFA sea inadecuado para los desafíos modernos de ciberseguridad.
En primer lugar, los mensajes SMS se transmiten en texto plano, lo que los hace susceptibles de ser interceptados por atacantes que han obtenido acceso a las redes de telecomunicaciones. En segundo lugar, SMS MFA carece de resistencia al phishing, lo que significa que los actores de amenazas pueden engañar fácilmente a los usuarios para que compartan sus códigos de autenticación a través de mensajes o sitios web fraudulentos.
Relacionado: AWS estrena servicio de respuesta a incidentes en medio de un aumento vertiginoso de la cibernética Amenazas
Estas vulnerabilidades han sido explotadas por actores patrocinados por el Estado, en particular aquellos vinculados a China. Estos actores han atacado la infraestructura de telecomunicaciones para interceptar mensajes SMS y comprometer cuentas confidenciales.
En su aviso, CISA advierte que las personas de alto riesgo, como funcionarios gubernamentales y personal de infraestructura crítica, son particularmente vulnerables a estas formas de ataque.
La transición a Autenticación resistente al phishing
Para abordar estos riesgos, CISA recomienda la transición a métodos MFA resistentes al phishing, con un fuerte énfasis en autenticación FIDO. Los protocolos FIDO aprovechan claves criptográficas para autenticar a los usuarios sin transmitir datos confidenciales a través de redes inseguras.
Las llaves de seguridad basadas en hardware, como Yubico o Google Titan, se destacan como las más robustas. opción, aunque las claves de acceso FIDO (credenciales criptográficas digitales) también se consideran alternativas aceptables.
“Una vez inscrito en la autenticación basada en FIDO, desactive otras formas menos seguras de MFA”, aconseja la guía. Esto garantiza que las opciones alternativas, como los SMS, no creen inadvertidamente vulnerabilidades explotables.
Relacionado: Microsoft actualiza las API WebAuthn de Windows 11 para habilitar claves de acceso de terceros
Recomendaciones más amplias para la seguridad móvil
Además de desaconsejar SMS MFA, la guía de CISA proporciona una variedad de mejores prácticas para proteger las comunicaciones móviles. incluir la adopción de plataformas de mensajería cifradas de extremo a extremo, como Signal, para garantizar que las comunicaciones permanezcan privadas y protegidas.
Actualizar periódicamente el software del dispositivo también es fundamental, ya que las actualizaciones a menudo incluyen parches para vulnerabilidades conocidas. CISA recomienda además utilizar administradores de contraseñas para generar y almacenar de forma segura contraseñas únicas, reduciendo así el riesgo de que la cuenta se vea comprometida debido a credenciales débiles o reutilizadas.
El aviso también advierte contra el uso de redes privadas virtuales (VPN) personales , afirmando que pueden trasladar las vulnerabilidades de los proveedores de servicios de Internet a los proveedores de VPN. En su lugar, se anima a las organizaciones a utilizar soluciones de nivel empresarial cuando se requiere acceso VPN.
Relacionado: Malware impulsado por IA: cómo las aplicaciones falsas y los CAPTCHA se dirigen a los usuarios de Windows y macOS
Comprensión de la autenticación FIDO
Fast Identity Online (FIDO) la autenticación representa un importante avance en la seguridad de la cuenta. A diferencia de los métodos tradicionales de MFA, FIDO se basa en criptografía de clave pública para autenticar a los usuarios.
Cuando un usuario registra un dispositivo, se genera una clave criptográfica privada y se almacena de forma segura en el dispositivo, mientras que la clave pública correspondiente se almacena en el servidor. Durante el inicio de sesión, el dispositivo firma un desafío al servidor utilizando la clave privada, lo que garantiza que la información confidencial nunca salga del dispositivo.
Este método proporciona una protección sólida contra el phishing y los ataques de intermediarios, lo que lo convierte en un herramienta esencial para salvaguardar cuentas de alto valor. Al eliminar la necesidad de transmitir códigos, la autenticación FIDO aborda las vulnerabilidades principales inherentes a SMS MFA.
El contexto más amplio de ciberseguridad
La guía de CISA es parte de una un esfuerzo mayor para abordar las crecientes amenazas de los ciberactores patrocinados por el Estado. En los últimos años, han aumentado las campañas maliciosas dirigidas a la infraestructura de telecomunicaciones, lo que permite a los atacantes interceptar comunicaciones privadas y filtrar datos confidenciales.
La guía se dirige específicamente a personas que desempeñan funciones de alto riesgo, como altos funcionarios gubernamentales y ejecutivos corporativos, que a menudo son el foco de estos ciberataques avanzados.
“Las personas altamente objetivo deben asumir”Todas las comunicaciones entre dispositivos móviles corren el riesgo de ser interceptadas o manipuladas”, advierte la guía. Esta cruda evaluación refleja la naturaleza cambiante de las amenazas cibernéticas y subraya la importancia de implementar medidas de seguridad más sólidas.
