¿Usas mensajes de texto para la autenticación multifactorial? Tal vez sería mejor que usaras otro método, en especial por todo lo que nos enteramos sobre un reciente hackeo considerado como “el peor en la historia de la nación”. El gobierno federal advierte – incluyendo a los funcionarios – que solo hay que usar apps encriptadas para comunicarse.
Unos hackers alineados con el gobierno chino se infiltraron en la infraestructura de telecomunicaciones de EE.UU. a tal punto que pudieron interceptar las comunicaciones no encriptadas de cantidad de personas, según informes que aparecieron en octubre. La operación llamada Salt Typhoon, aparentemente permitió que los hackers escucharan llamadas telefónicas y vieran mensajes de texto. Su penetración ha sido tan amplia que todavía no han logrado eliminarlos de las redes de telecomunicaciones.
La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) emitió esta semana una guía de prácticas para proteger a “individuos de alta notoriedad”, e incluye una nueva advertencia sobre los mensajes de texto.
¿Quién ve tus mensajes?
“No use los SMS como segundo factor de autenticación. Los mensajes SMS no están encriptados, y quien tenga acceso a la red del proveedor de telecomunicaciones puede interceptar y leer estos mensajes. Los SMS no son resistentes al phishing, y por eso no sirven como autenticación para cuentas”, indica la guía que se subió a Internet.
No todos los servicios permiten la autenticación multifactorial y a veces los mensajes de texto son la única opción. Pero si se puede elegir es mejor usar métodos resistentes al phishing, como códigos o apps de autenticación. CISA dice en la introducción a la guía que se refiere solo a objetivos de alto perfil.
Lo increíble es que incluso el FBI ha salido a respaldar el uso del encriptado, y eso quizá nos muestra lo grave que se ha vuelto esta intrusión a la infraestructura de telecomunicaciones de EE.UU. El FBI siempre se opuso al encriptado, al menos si no se brindaba algún método alternativo que pudieran usar las fuerzas de la ley. Las apps como Signal ofrecen encriptado de extremo a extremo, aunque tampoco son imposibles de hackear.
La CISA recomienda: “adoptar una aplicación gratuita de mensajería para comunicaciones seguras, con encriptado de extremo a extremo, como Signal u otras similares. Que sea compatible con sistemas operativos Android y iPhone, con interoperabilidad de mensajes entre ambas plataformas”.
Se ha criticado al gobierno federal y a las compañías de telecomunicaciones por no tomar lo suficientemente en serio a Salt Typhoon. El senador Mark Warner, demócrata de Virginia, habló con el Washington Post y el New York Times a fines de noviembre sobre este riesgo, e hizo sonar la alarma. Pero persiste la duda de qué es lo que puede hacer la persona promedio. Parece que lo mejor es seguir el consejo de agencias como la CISA cuando emiten anuncios dirigidos a personas de alto perfil.
