A medida que el mundo electronic ha evolucionado, también lo ha hecho la necesidad de proteger las identidades de los clientes. Los clientes de hoy esperan que las empresas brinden una experiencia segura. El uso cada vez mayor de servicios basados en la nube y dispositivos móviles también ha aumentado el riesgo de filtraciones de datos. ¿Sabía que, en comparación con 2014, las pérdidas totales por piratería de cuentas aumentaron un 61 % a $2300 millones y los incidentes aumentaron hasta un 31 %?
La contraseña de un solo uso basada en SMS es una tecnología desarrollada para combatir el phishing y otros riesgos de seguridad relacionados con la autenticación en el mundo world wide web. En standard, las OTP basadas en SMS se utilizan como un segundo variable en las soluciones de autenticación de dos factores. Los usuarios deben enviar una OTP única después de ingresar las credenciales para que se verifiquen en el sitio. 2FA se ha convertido en una forma efectiva de reducir los incidentes de piratería y prevenir el fraude de identidad.
Pero desafortunadamente, las OTP basadas en SMS ya no son seguras en estos días. Existen dos motivos principales para esto:
Primero, la principal seguridad de la OTP basada en SMS se basa en la confidencialidad del mensaje de texto. Pero estos SMS dependen de la seguridad de las redes celulares, y últimamente muchas de las redes GSM y 3G han indicado que la confidencialidad de estos SMS esencialmente no se puede garantizar.
En segundo lugar, los piratas informáticos hacen todo lo posible para infiltrarse en los datos de los clientes y, por lo tanto, han desarrollado muchos troyanos de teléfonos móviles especializados para infiltrarse en los datos de los clientes.
¡Hablemos de ello en detalle!
Principales riesgos asociados con la OTP basada en SMS:
El objetivo principal del atacante es obtener esta contraseña de un solo uso y para que esto sea posible se desarrollan muchas de las opciones, como troyanos de teléfonos celulares, interceptación inalámbrica, ataques de intercambio de SIM. Vamos a discutirlos en detalle:
1. Monitoreo inalámbrico:
Hay muchos factores que hacen que la tecnología GSM sea menos segura, como la falta de autenticación mutua, la falta de algoritmos de cifrado robustos, and so on. También se descifrará la voluntad. Además, se descubrió que al hacer un mal uso de las femtoceldas, las comunicaciones 3G también pueden ser interceptadas. En este ataque, se instala firmware modificado en la femtocelda. Este firmware contiene funciones de rastreo e intercepción. Estos dispositivos también se pueden utilizar para atacar teléfonos móviles.
Las últimas amenazas en aumento para los dispositivos móviles son el malware móvil, en individual los troyanos. Este malware está diseñado específicamente para interceptar mensajes SMS que contienen contraseñas de un solo uso. El objetivo principal detrás de la creación de dicho malware es ganar dinero. Comprendamos los diferentes tipos de troyanos capaces de robar OTP basadas en SMS.
El primer troyano conocido fue ZITMO (Zeus In The Mobile) para Symbian OS. Este troyano fue desarrollado para interceptar mTAN. El troyano tiene la capacidad de registrarse en el sistema operativo Symbian para que los SMS puedan ser interceptados. Incluye más funciones como reenvío de mensajes, eliminación de mensajes, etcetera. La función de eliminación oculta por completo el hecho de que el mensaje llegó alguna vez.
En febrero de 2011 se identificó un tipo identical de troyano para Home windows Cellular, denominado Trojan-Spy.WinCE.Zot.a. Las características de este troyano eran similares a las anteriores.
También existen los troyanos para Android y Black Berry de RIM. Todos estos troyanos conocidos son program instalado por el usuario, por lo que no explotan ninguna vulnerabilidad de seguridad de la plataforma afectada. Además, utilizan la ingeniería social para convencer a los usuarios de que instalen el binario.
3. WiFi público gratuito y puntos de acceso:
Hoy en día, ya no es difícil para los piratas utilizar una crimson WiFi no segura para propagar malware. Inyectar software program infectado en su dispositivo móvil ya no es una tarea difícil si permite compartir archivos a través de la purple. Además, algunos de los delincuentes también tienen la capacidad de piratear los puntos de conexión. Por lo tanto, durante el proceso de conexión, muestran una ventana emergente que les pide que actualicen algún program well known.
Los SMS se envían desde el instituto al cliente en formato de texto sin formato. Y tengo que mencionar que pasa por múltiples intermediarios como agregador de SMS, operador móvil, proveedor de gestión de aplicaciones, etc. Y cualquier colusión de piratas informáticos con controles de seguridad débiles puede representar un gran riesgo. Además, los piratas a menudo bloquean la tarjeta SIM proporcionando una prueba de identidad falsa y adquieren la tarjeta SIM duplicada visitando el punto de venta del proveedor de telefonía celular. Ahora el hacker puede acceder a todas las OTP que llegaron a ese número.
5. Alrededor:
Madware es el tipo de publicidad agresiva que ayuda a entregar anuncios dirigidos a través de los datos y la ubicación de los teléfonos inteligentes al proporcionar aplicaciones móviles gratuitas. Pero algunos de los programas maliciosos tienen la capacidad de actuar como programas espía, lo que les permite recopilar información particular y transmitirla al propietario de la aplicación.
¿Cuál es la solución?
Emplear algunas medidas preventivas es imprescindible para garantizar la seguridad contra la vulnerabilidad de las contraseñas de un solo uso basadas en SMS. Aquí hay muchas soluciones, como la introducción de tokens de hardware. Con este enfoque, el token genera una contraseña de un solo uso mientras realiza una transacción. Otra opción es utilizar un proceso de autenticación de un solo toque. Además, también puede ser necesario instalar una aplicación en el teléfono móvil para generar OTP. A continuación hay dos consejos más para asegurar OTP basado en SMS:
1. Cifrado de SMS de extremo a extremo:
Este enfoque utiliza el cifrado de extremo a extremo para evitar que se utilicen contraseñas de un solo uso si se intercepta el SMS. Utiliza el «almacenamiento privado de aplicaciones» disponible en la mayoría de los teléfonos móviles en estos días. Esta área de almacenamiento persistente es privada para cada aplicación. Solo la aplicación que almacena los datos puede acceder a estos datos. En este proceso, el primer paso implica el mismo proceso de generación de OTP, pero en el segundo paso, esta OTP se cifra con una clave centrada en el cliente y la OTP se envía al teléfono móvil del cliente. En el teléfono del destinatario, una aplicación especial muestra esta OTP después de que se haya descifrado. Esto significa que incluso si el troyano puede obtener acceso al SMS, no puede descifrar la OTP porque falta la clave requerida.
Dado que los troyanos telefónicos representan la mayor amenaza para la OTP basada en SMS, ya que realizar ataques troyanos a gran escala ya no es difícil, este proceso requiere un soporte mínimo del sistema operativo y un soporte mínimo o nulo de los operadores. Con esta solución, ciertos SMS están protegidos contra escuchas enviándolos únicamente a un canal o aplicación especial. El proceso requiere un canal digital dedicado en el sistema operativo móvil. Este canal redirige algunos mensajes a una aplicación OTP específica, protegiéndolos de las escuchas. El uso de almacenamiento privado de aplicaciones garantiza la seguridad de esta protección.
Independientemente del método que elija, ninguna tecnología puede garantizarle el 100 % de seguridad. La clave aquí es estar alerta y actualizado con los rápidos cambios en la tecnología.
Los principios básicos de Sims 4 Go to Work Trucos
Comparación de rastreadores GPS Duke of Edinburgh – rastreadores GSM vs. SPOT e Iridium
Apple iPhone 4 – Teléfono 4 Todo
Sony Ericsson Xperia X10 se convierte en libre de SIM
Beneficios de las flores de seda
Repuestos de iPhone – Todo lo que necesitas saber