Servicios de Mensajes Cortos: ¿Alternativa de Seguridad o Tecnología Obsoleta?

21/11/2024

Servicios de Mensajes Cortos: ¿Alternativa de Seguridad o Tecnología Obsoleta?
Fuente: Shutterstock

Por César Díaz, Líder de Asuntos de Telecomunicaciones de LACNIC

En un mundo donde cada día nuestras vidas se entrelazan cada vez más con lo digital, la seguridad ya no es solo una opción, sino una obligación ineludible. Desde nuestros datos personales hasta información corporativa y gubernamental, la necesidad de proteger credenciales y evitar accesos no autorizados es vital. En este escenario, una tecnología que muchos daban por obsoleta, el Servicio de Mensajes Cortos (SMS), ha resurgido como un componente básico en el ámbito de la seguridad digital. Lejos de ser solo una herramienta de mensajería, los SMS se han consolidado como una alternativa  en la implementación de la autenticación de dos factores (2FA). Pero, a la hora de elegirlos como medida de seguridad surgen preguntas inevitables: ¿son los SMS realmente confiables para la 2FA?

De la mensajería básica a la seguridad esencial

En sus primeros días, los SMS revolucionaron la comunicación móvil, permitiendo que los usuarios intercambiaran mensajes de texto de manera rápida y sencilla. Durante los años 90 y principios de los 2000, dominaron el panorama de la comunicación. Sin embargo, con la llegada de las aplicaciones de mensajería instantánea y redes sociales, los SMS comenzaron a perder protagonismo. Lo que pocos anticiparon era que esta tecnología, lejos de caer en el olvido, se transformaría en un aliado para la seguridad digital.

Hoy, los SMS han dejado de ser una simple herramienta de comunicación personal para transformarse en un recurso para la autenticación y validación de información sensible. Empresas y gobiernos de todo el mundo han adoptado los SMS como un canal confiable que añade una capa adicional de seguridad en sus plataformas. Desde comercio electrónico hasta el acceso de credenciales, los SMS se han convertido en un mecanismo ampliamente utilizado para enviar códigos de verificación, que actúan como una barrera de protección adicional frente a los ciberataques. Esta función los ha posicionado como un recurso indispensable en la lucha contra el fraude y las amenazas cibernéticas.

Leer también:

¿Por qué los SMS siguen siendo relevantes en seguridad?

A pesar del desarrollo de tecnologías más avanzadas, los SMS siguen siendo una herramienta importante en la seguridad por varias razones clave:

  1. Compatibilidad universal: Los SMS funcionan en prácticamente todos los teléfonos móviles, independientemente de la marca, el sistema operativo o la antigüedad del dispositivo. Esto los convierte en una opción accesible y universal, llegando tanto a los usuarios de smartphones de última generación como a aquellos que utilizan dispositivos más básicos.
  2. Simplicidad de uso: A diferencia de otras tecnologías de autenticación, los SMS no requieren que los usuarios instalen aplicaciones adicionales ni complejas configuraciones. Cualquier persona con un teléfono móvil puede recibir y usar SMS para verificar su identidad, lo que facilita la adopción masiva, incluso en zonas con bajos niveles de digitalización.
  3. Confiabilidad en áreas de baja conectividad: Los SMS no dependen de una conexión a Internet, lo que significa que pueden operar en áreas donde la conectividad es limitada o inestable. Esto los convierte en una opción particularmente útil en regiones rurales o en situaciones de emergencia.
  4. Accesibilidad global: Los SMS no tienen fronteras. En cualquier parte del mundo, pueden ser enviados y recibidos, siempre y cuando exista interoperabilidad entre los proveedores que ofrecen servicios de mensajería celular, como ampliaremos más adelante.

¿Cuál es el rol de los SMS en el 2FA?

El 2FA es uno de los mecanismos de seguridad más efectivos hoy en día, y los SMS juegan un papel básico en este ecosistema. La autenticación de dos factores a través de SMS requiere que los usuarios proporcionen dos formas de verificación antes de acceder a una cuenta o servicio. Normalmente, la primera capa es una contraseña, y la segunda es un código temporal (OTP – One Time Password) enviado al teléfono del usuario mediante SMS.

Esta doble verificación reduce drásticamente la posibilidad de que un atacante pueda acceder a información sensible, incluso si ha logrado robar la contraseña del usuario. Al depender de dos factores diferentes (algo que el usuario sabe y algo que posee), los SMS añaden una barrera adicional que protege las cuentas contra intentos de hackeo, phishing o accesos no autorizados.

¿Los SMS tienen vulnerabilidades en el 2FA?

Aunque el uso de SMS para la autenticación de dos factores (2FA) es eficaz, también presenta ciertos riesgos y vulnerabilidades importantes que no debemos ignorar. Un ejemplo claro es el SIM swapping, como ocurrió en 2019 con Jack Dorsey, cofundador de Twitter. Los atacantes lograron transferir su número de teléfono a una tarjeta SIM bajo su control, lo que les permitió acceder a su cuenta personal. Este incidente demuestra lo devastador que puede ser este tipo de ataque, donde un simple cambio de SIM puede comprometer la seguridad de cuentas sensibles.

Otro riesgo importante es la intercepción de mensajes en redes inseguras. En 2017 y 2018, se descubrieron vulnerabilidades en el sistema de señalización SS7 (Signaling System No. 7), un protocolo utilizado por las redes móviles para intercambiar información entre operadores. Este protocolo, con décadas de uso, es esencial para gestionar la autenticación, enrutamiento y transmisión de SMS. Un caso notorio ocurrió en el Reino Unido en 2019, donde ciberdelincuentes lograron interceptar mensajes de verificación enviados por bancos a sus clientes, obteniendo acceso no autorizado a cuentas bancarias y transfiriendo dinero de manera fraudulenta.

Por último, las técnicas de ingeniería social representan una amenaza significativa. Un ejemplo común se da en WhatsApp, donde los ciberdelincuentes intentan acceder a la cuenta de la víctima enviando una solicitud de inicio de sesión, lo que hace que WhatsApp envíe un código de verificación por SMS al número del usuario. A continuación, el atacante se hace pasar por un amigo o contacto de confianza y envía un mensaje diciendo algo como:

Si la víctima cae en la trampa y reenvía el código, el atacante toma el control de su cuenta de WhatsApp, mostrando lo fácil que es explotar la confianza humana para comprometer la seguridad.

Entonces, ¿es seguro utilizar SMS para 2FA?

Aunque el 2FA basado en SMS es menos seguro que otros métodos como las aplicaciones de autenticación o las llaves físicas, sigue siendo mucho más robusto que depender únicamente de una contraseña. La clave está en no confiar únicamente en los SMS, sino en integrarlos como parte de una estrategia de seguridad más amplia y avanzada.

En entornos donde no es factible utilizar métodos más avanzados, los SMS siguen siendo una opción valiosa gracias a su accesibilidad y facilidad de uso. Mientras se apliquen las mejores prácticas de seguridad, el 2FA basado en SMS puede ofrecer una capa adicional de protección que es mejor que no tener ninguna.

¿Por qué no me llegan los SMS como 2FA?

En algunas circunstancias, los SMS utilizados para la autenticación de dos factores (2FA) pueden fallar en su entrega. Uno de los principales factores es la falta de cobertura, además de algunas circunstancias o épocas de alto tráfico como lo pueden ser fiestas de fin de año o fin de semana de Black Friday. Estos problemas se agravan si el dispositivo del usuario tiene filtros de mensajes activados o bandejas de entrada llenas, lo que bloquea la recepción de los códigos de verificación.

Otro factor relevante es la infraestructura y configuración de las redes por parte de los operadores. Los fallos de enrutamiento en redes de proveedores pueden hacer que los mensajes de autenticación se clasifiquen incorrectamente como spam, afectando su entrega.

Le podemos sumar errores en la configuración del protocolo SMPP (Short Message Peer-to-Peer), o algunas restricciones impuestas por algunas aplicaciones que bloquean temporalmente la entrega de mensajes cuando los usuarios intentan solicitar múltiples códigos en un breve periodo.

No subestimes el poder del SMS en tu seguridad digital

A pesar de los riesgos inherentes, subestimar el valor de los SMS en la seguridad digital sería un error. En un mundo donde las amenazas cibernéticas evolucionan constantemente, cada capa adicional de protección es vital. Si bien las aplicaciones de autenticación y llaves físicas son métodos más seguros y deben ser nuestra primera elección, los SMS siguen siendo una herramienta básica de seguridad cuando estas opciones no son viables.

La autenticación de dos factores es una necesidad, no un lujo, y aunque los SMS presentan algunos desafíos, siguen siendo una opción en la protección de información confidencial. En última instancia, cada capa de seguridad cuenta y los SMS siguen jugando un papel clave en la defensa de la seguridad digital moderna.

Las opiniones expresadas por los autores de este blog son propias y no necesariamente reflejan las opiniones de LACNIC.

Subscribe
Notify of

3 Comments
Oldest
Newest Most Voted
Inline Feedbacks
View all comments
Jordi Palet Martinez
25 days ago

Aunque el articulo es correcto en todo lo que indica, creo que deberíamos ser mucho mas exhaustivos con la seguridad 2FA, y por lo tanto no utilizar SMS jamás.

En muchas ocasiones hemos visto diversos tipos de “usurpaciones” de SMS, el uso de mensajes no cifrados, etc. Hay muchos artículos e información de ello.

Pero además, desde mi experiencia viajando, los SMS no son tan universales como parece al menos no en su “calidad”, y en muchos casos, la demora en su entrega es tan larga que expira el tiempo de uso y te quedas bloqueado por hacer varios intentos.

Igualmente, a veces podemos estar viajando y usando una SIM diferente a la habitual, con lo cual no te llega el SMS, aunque cada vez es más habitual que los teléfonos admitan varias SIM o eSIM, con lo que esto en principio se resuelve.

Creo que es mucho mas razonable utilizar aplicaciones de autenticación con TOTP, como google Authenticator antes que SMS y que estos debieran de dejar de usarse.

Graciela Martínez
25 days ago

Hola! gracias por tu comentario, justamente recogiste el espíritu del artículo.
Con respecto a “jamás” eso sería ideal, pero el mundo ideal no existe, y si el SMS fuese la última alternativa para apoyar un acceso, y considerando los infostealers, será mejor que nada.

César Díaz
24 days ago

Hola Jordi

Precisamente, tu comentario refleja una de nuestras conclusiones al destacar que las aplicaciones de autenticación y las llaves físicas son métodos más seguros y deberían ser nuestra primera opción. Sin embargo, aunque identificamos desafíos asociados con el uso de SMS, éste sigue siendo una herramienta básica que no debe subestimarse, especialmente en situaciones donde no haya otras alternativas disponibles.