La vulnerabilidad del SMS como segundo factor de autenticación tras un ciberataque
Un reciente ciberataque a la empresa internacional Sondeos Global, proveedor de servicios SMS en Argentina, Chile y Uruguay, ha expuesto una de las debilidades más críticas en los sistemas actuales de autenticación: la utilización de mensajes de texto como segundo factor de autenticación. Este incidente ha puesto en evidencia la necesidad de reconsiderar la seguridad de este método ampliamente utilizado.
Los atacantes comprometieron los servidores que manejan el protocolo SMPP (Short Message Peer-to-Peer), utilizado para el intercambio de mensajes de texto (SMS) entre aplicaciones y centros de mensajes (SMSCs). Como resultado, lograron interceptar en tiempo real más de 30,000 mensajes, muchos de los cuales contenían códigos de autenticación de un solo uso (OTP) enviados por diversas empresas de tecnología, banca y redes sociales.
Servicios afectados y las implicaciones del ataque
Entre las plataformas impactadas se encuentran Google, Apple, Telegram, Facebook, Instagram, WhatsApp y Mercado Libre. Estas empresas utilizan SMS como parte de sus procesos de autenticación en dos pasos. Sin embargo, la arquitectura del sistema SMS presenta dos problemas significativos: el mensaje atraviesa múltiples intermediarios antes de llegar al usuario final y se envía en texto plano, lo que significa que no está cifrado.
El ataque a Sondeos Global no solo fue efectivo, sino que pasó desapercibido durante semanas, permitiendo la apropiación masiva de cuentas sin necesidad de que las víctimas interactuaran con enlaces maliciosos o instalaran malware. Investigadores especializados detectaron bots que automatizaban la interceptación de códigos, facilitando el acceso a cuentas personales, especialmente en Telegram.
La importancia de un segundo factor robusto
Lo más alarmante es que muchas de las víctimas aplicaban buenas prácticas de seguridad, como tener dispositivos limpios y no utilizar contraseñas débiles. Esto demuestra que la falla no estaba en las medidas de seguridad individuales, sino en el canal de comunicación utilizado. Como conclusión, el uso de SMS como segundo factor de autenticación debe considerarse obsoleto y peligroso.
Existen métodos más seguros y efectivos, como las aplicaciones de autenticación (por ejemplo, Google Authenticator, Microsoft Authenticator) o dispositivos de seguridad físicos tipo FIDO. Estos métodos generan códigos en el dispositivo de confianza del usuario, lo que impide la interceptación masiva de códigos de autenticación, como ocurrió en el ataque a Sondeos Global.
El mensaje es claro: proteger los accesos con un segundo factor sigue siendo fundamental, pero el canal elegido para ese segundo factor debe ser robusto. Actualmente, el SMS claramente no lo es.
