Servicios de Mensajes Cortos: ¿Alternativa de Seguridad o Tecnología Obsoleta?
21/11/2024
Por César Díaz, Líder de Asuntos de Telecomunicaciones de LACNIC
En un mundo donde cada día nuestras vidas se entrelazan cada vez más con lo digital, la seguridad ya no es solo una opción, sino una obligación ineludible. Desde nuestros datos personales hasta información corporativa y gubernamental, la necesidad de proteger credenciales y evitar accesos no autorizados es vital. En este escenario, una tecnología que muchos daban por obsoleta, el Servicio de Mensajes Cortos (SMS), ha resurgido como un componente básico en el ámbito de la seguridad digital. Lejos de ser solo una herramienta de mensajería, los SMS se han consolidado como una alternativa en la implementación de la autenticación de dos factores (2FA). Pero, a la hora de elegirlos como medida de seguridad surgen preguntas inevitables: ¿son los SMS realmente confiables para la 2FA?
De la mensajería básica a la seguridad esencial
En sus primeros días, los SMS revolucionaron la comunicación móvil, permitiendo que los usuarios intercambiaran mensajes de texto de manera rápida y sencilla. Durante los años 90 y principios de los 2000, dominaron el panorama de la comunicación. Sin embargo, con la llegada de las aplicaciones de mensajería instantánea y redes sociales, los SMS comenzaron a perder protagonismo. Lo que pocos anticiparon era que esta tecnología, lejos de caer en el olvido, se transformaría en un aliado para la seguridad digital.
Hoy, los SMS han dejado de ser una simple herramienta de comunicación personal para transformarse en un recurso para la autenticación y validación de información sensible. Empresas y gobiernos de todo el mundo han adoptado los SMS como un canal confiable que añade una capa adicional de seguridad en sus plataformas. Desde comercio electrónico hasta el acceso de credenciales, los SMS se han convertido en un mecanismo ampliamente utilizado para enviar códigos de verificación, que actúan como una barrera de protección adicional frente a los ciberataques. Esta función los ha posicionado como un recurso indispensable en la lucha contra el fraude y las amenazas cibernéticas.
¿Por qué los SMS siguen siendo relevantes en seguridad?
A pesar del desarrollo de tecnologías más avanzadas, los SMS siguen siendo una herramienta importante en la seguridad por varias razones clave:
- Compatibilidad universal: Los SMS funcionan en prácticamente todos los teléfonos móviles, independientemente de la marca, el sistema operativo o la antigüedad del dispositivo. Esto los convierte en una opción accesible y universal, llegando tanto a los usuarios de smartphones de última generación como a aquellos que utilizan dispositivos más básicos.
- Simplicidad de uso: A diferencia de otras tecnologías de autenticación, los SMS no requieren que los usuarios instalen aplicaciones adicionales ni complejas configuraciones. Cualquier persona con un teléfono móvil puede recibir y usar SMS para verificar su identidad, lo que facilita la adopción masiva, incluso en zonas con bajos niveles de digitalización.
- Confiabilidad en áreas de baja conectividad: Los SMS no dependen de una conexión a Internet, lo que significa que pueden operar en áreas donde la conectividad es limitada o inestable. Esto los convierte en una opción particularmente útil en regiones rurales o en situaciones de emergencia.
- Accesibilidad global: Los SMS no tienen fronteras. En cualquier parte del mundo, pueden ser enviados y recibidos, siempre y cuando exista interoperabilidad entre los proveedores que ofrecen servicios de mensajería celular, como ampliaremos más adelante.
¿Cuál es el rol de los SMS en el 2FA?
El 2FA es uno de los mecanismos de seguridad más efectivos hoy en día, y los SMS juegan un papel básico en este ecosistema. La autenticación de dos factores a través de SMS requiere que los usuarios proporcionen dos formas de verificación antes de acceder a una cuenta o servicio. Normalmente, la primera capa es una contraseña, y la segunda es un código temporal (OTP – One Time Password) enviado al teléfono del usuario mediante SMS.
Esta doble verificación reduce drásticamente la posibilidad de que un atacante pueda acceder a información sensible, incluso si ha logrado robar la contraseña del usuario. Al depender de dos factores diferentes (algo que el usuario sabe y algo que posee), los SMS añaden una barrera adicional que protege las cuentas contra intentos de hackeo, phishing o accesos no autorizados.
(Acceso libre, no requiere suscripción)
¿Los SMS tienen vulnerabilidades en el 2FA?
Aunque el uso de SMS para la autenticación de dos factores (2FA) es eficaz, también presenta ciertos riesgos y vulnerabilidades importantes que no debemos ignorar. Un ejemplo claro es el SIM swapping, como ocurrió en 2019 con Jack Dorsey, cofundador de Twitter. Los atacantes lograron transferir su número de teléfono a una tarjeta SIM bajo su control, lo que les permitió acceder a su cuenta personal. Este incidente demuestra lo devastador que puede ser este tipo de ataque, donde un simple cambio de SIM puede comprometer la seguridad de cuentas sensibles.
Otro riesgo importante es la intercepción de mensajes en redes inseguras. En 2017 y 2018, se descubrieron vulnerabilidades en el sistema de señalización SS7 (Signaling System No. 7), un protocolo utilizado por las redes móviles para intercambiar información entre operadores. Este protocolo, con décadas de uso, es esencial para gestionar la autenticación, enrutamiento y transmisión de SMS. Un caso notorio ocurrió en el Reino Unido en 2019, donde ciberdelincuentes lograron interceptar mensajes de verificación enviados por bancos a sus clientes, obteniendo acceso no autorizado a cuentas bancarias y transfiriendo dinero de manera fraudulenta.
Por último, las técnicas de ingeniería social representan una amenaza significativa. Un ejemplo común se da en WhatsApp, donde los ciberdelincuentes intentan acceder a la cuenta de la víctima enviando una solicitud de inicio de sesión, lo que hace que WhatsApp envíe un código de verificación por SMS al número del usuario. A continuación, el atacante se hace pasar por un amigo o contacto de confianza y envía un mensaje diciendo algo como:
Las opiniones expresadas por los autores de este blog son propias y no necesariamente reflejan las opiniones de LACNIC.
Aunque el articulo es correcto en todo lo que indica, creo que deberíamos ser mucho mas exhaustivos con la seguridad 2FA, y por lo tanto no utilizar SMS jamás.
En muchas ocasiones hemos visto diversos tipos de “usurpaciones” de SMS, el uso de mensajes no cifrados, etc. Hay muchos artículos e información de ello.
Pero además, desde mi experiencia viajando, los SMS no son tan universales como parece al menos no en su “calidad”, y en muchos casos, la demora en su entrega es tan larga que expira el tiempo de uso y te quedas bloqueado por hacer varios intentos.
Igualmente, a veces podemos estar viajando y usando una SIM diferente a la habitual, con lo cual no te llega el SMS, aunque cada vez es más habitual que los teléfonos admitan varias SIM o eSIM, con lo que esto en principio se resuelve.
Creo que es mucho mas razonable utilizar aplicaciones de autenticación con TOTP, como google Authenticator antes que SMS y que estos debieran de dejar de usarse.
Hola! gracias por tu comentario, justamente recogiste el espíritu del artículo.
Con respecto a “jamás” eso sería ideal, pero el mundo ideal no existe, y si el SMS fuese la última alternativa para apoyar un acceso, y considerando los infostealers, será mejor que nada.
Hola Jordi
Precisamente, tu comentario refleja una de nuestras conclusiones al destacar que las aplicaciones de autenticación y las llaves físicas son métodos más seguros y deberían ser nuestra primera opción. Sin embargo, aunque identificamos desafíos asociados con el uso de SMS, éste sigue siendo una herramienta básica que no debe subestimarse, especialmente en situaciones donde no haya otras alternativas disponibles.