Las contraseñas son uno de los elementos más atacados por los piratas informáticos. A través de distintas técnicas (fuerza bruta, ingeniería social, vulnerabilidades en los servidores, etc), los piratas informáticos pueden hacerse con los datos de inicio de sesión de sus víctimas y utilizarlos para acceder a sus cuentas online. Debido a que cada vez es más complicado evitar esto, los administradores web se han visto obligados a implementar nuevas medidas de seguridad en el proceso de inicio de sesión, como la doble autenticación.
La doble autenticación se basa principalmente en proteger las cuentas de los usuarios con una clave adicional generada aleatoriamente en el momento del inicio de sesión. De esta manera, si un pirata informático se hace con nuestra contraseña de acceso, por ejemplo, de eBay, cuando intente acceder se encontrará con la necesidad de introducir esta clave adicional que, al ser aleatoria, no puede ser robada (en teoría) ni siquiera a la fuerza, ya que el usuario tampoco la sabe, sino que debe calcularla con una aplicación, un token o recibirla como notificación en su teléfono.
eBay es una de las plataformas más atacadas por los piratas informáticos ya que contienen mucha información personal y sensible sobre los usuarios (como direcciones, número de tarjetas, etc), por lo que la seguridad en los procesos de inicio de sesión debería ser crítica. Esta compañía cuenta desde hace tiempo con sistemas de doble autenticación que nos permite generar el código de inicio desde un token seguro que podía comprarse por 5 dólares, impidiendo así que, aunque alguien se haga con nuestra contraseña, pueda acceder a la cuenta si no tiene esta clave.
Por lo general, estos tokens de doble autenticación son muy seguros y la única forma de hacerse con ellos sería robándolos físicamente. Sin embargo, tienen un problema, y es que los usuarios no suelen llevarlos siempre encima (son grandes, pesados y propensos a ser olvidados), lo que puede ser un problema si nos tenemos que conectar a nuestra cuenta de eBay desde cualquier lugar y no tenemos este dispositivo a mano.
eBay hace su inicio de sesión más sencillo… y vulnerable
Con el fin de simplificar los procesos de inicio de sesión y hacerlos lo más cómodos posible eBay ha tomado la decisión de dejar de dar soporte a estos tokens de acceso y empezar a enviar los códigos PIN como un SMS a los smartphones de los usuarios.
Aunque recibir este código como SMS es mucho más cómodo (¿quién no lleva el móvil siempre encima?), en realidad reduce la seguridad del proceso de inicio de sesión, y es que el contenido de los SMS puede ser robado fácilmente tal como se ha demostrado ya en varias ocasiones.
Los SMS viajan como «texto plano» y pueden robarse fácilmente
eBay no es la única plataforma que envía las claves de inicio de sesión a los usuarios a través de SMS, pero eso no significa que sea la mejor forma de hacerlo. Desde hace ya tiempo se ha podido demostrar que los SMS pueden capturarse muy fácilmente y, al viajar sin cifrado, se puede acceder a toda su información.
Sin ir más lejos, el NIST ya empezó a recomendar hace un año dejar de lado este tipo de autenticación de cara a otros sistemas más seguros como Google Authenticator o los tokens de acceso como el de eBay, sin embargo, esta compañía ha dado varios pasos atrás en seguridad al obligar a los usuarios a recibir sus códigos de acceso a través de SMS y, además, sin la posibilidad de utilizar otras herramientas como Google Authenticator que, a poco, es más segura que los mensajes de texto.
Si algunos usuarios confían en el SMS no está mal, pero eBay debería dar la opción a los usuarios de utilizar otros sistemas de doble autenticación, ya sea propietario (a través de su app, como hace Twitter o Steam) como común, a través de Google Authenticator. El tiempo nos dirá si finalmente la compañía recapacita.
¿Crees que la decisión de eBay de depreciar los tokens de acceso y enviar las claves por SMS es una buena idea?