2FA y los números de teléfono reciclados son un riesgo para la seguridad

2fa Riesgo de seguridad destacado

Se supone que la autorización de dos factores conduce a una mayor seguridad. Se supone que ese paso adicional evitará que los spammers entren en su cuenta. Con solo aprender un punto de acceso, aún deben dar un paso adicional que probablemente no conozcan. Sin embargo, los investigadores han descubierto que 2FA puede generar un riesgo de seguridad con los números de teléfono reciclados.

Los números de teléfono reciclados exponen las cuentas 2FA

Ya sea porque se mudan o cambian de proveedor de telefonía celular, las personas cambian sus números de teléfono de vez en cuando. Pero no hay un suministro ilimitado de números de teléfono no utilizados. Debido a esto, los números de teléfono desechados a menudo se reciclan. Es posible que haya descubierto esto cuando tomó un nuevo número y le molesta una serie de llamadas de la persona que estaba previamente conectada a ese número.

Puede que te moleste más que eso. Si el número se adjuntó previamente a 2FA, la información de las cuentas está sujeta a un riesgo de seguridad. Ahora, en lugar de necesitar los dos factores para acceder, todo lo que se necesita es el número de teléfono.

2fa Inicio de sesión de riesgo de seguridad

Los investigadores de la Universidad de Princeton descubrieron riesgo de seguridad asociado con 2FA y números de teléfono reciclados. De los más de 250 números de teléfono que muestrearon los investigadores, 17 estaban conectados a cuentas en sitios web populares. Los números que se muestrearon estaban disponibles para dos compañías principales.

“Además, la mayoría de los números disponibles dieron lugar a resultados en los servicios de búsqueda de personas, que proporcionan información de identificación personal sobre propietarios anteriores. Además, una fracción significativa (100 de 259) de los números estaban vinculados a credenciales de inicio de sesión filtradas en la Web, lo que podría permitir secuestros de cuentas que anulan la autenticación multifactor basada en SMS ”, detallaron los investigadores en su estudio.

«También encontramos debilidades de diseño en las interfaces en línea de los operadores y las políticas de reciclaje de números que podrían facilitar los ataques relacionados con el reciclaje de números».

2fa Riesgo de seguridad bloqueado

Los nuevos propietarios de los números de teléfono están sujetos a llamadas y mensajes relacionados con la seguridad y la privacidad, incluidos los códigos de autenticación. Los investigadores de Princeton creen que los nuevos propietarios podrían verse incentivados para explotar las cuentas a las que están conectados estos nuevos números.

Limitar el riesgo de seguridad

¿Qué puede hacer cuando cambia su número de teléfono para limitar el riesgo de seguridad de sus cuentas que en un momento estaban conectadas a 2FA? Rastrear todas esas cuentas protegidas por 2FA sería una pesadilla.

Los investigadores de Princeton creen que debe «estacionar» su número anterior cuando se cambia a uno nuevo. Puede hacer esto con un servicio de estacionamiento, un operador de red virtual móvil (MVNO) o un proveedor de VOIP. Esto podría darle el tiempo que necesita para actualizar la configuración de 2FA en sus cuentas antiguas.

Tenga en cuenta que, independientemente de esta preocupación, 2FA sigue siendo un método de seguridad importante. Siga leyendo para aprender cómo configurar 2FA en varias redes sociales además de Twitter, que ya no necesita números de teléfono para 2FA.