He aquí por qué Microsoft quiere que deje de usar la autenticación basada en SMS y voz
En una publicación reciente del blog, Alex Weinart, director de seguridad de identidad de Microsoft, expresó una opinión que puede parecer un poco controvertida a primera vista. Weinart argumentó que los servicios de autenticación multifactor basados en voz y SMS son la opción menos segura cuando se trata de MFA.
Si bien generalmente nos gusta pensar que los mensajes de texto son un método infalible y muy seguro para implementar la autenticación de múltiples factores, Weinart mencionó algunos puntos interesantes que la gente generalmente no considera cuando piensa en el tema.
Los puntos que Weinart hace en su publicación de blog se relacionan con la naturaleza de los SMS y la MFA basada en voz, y esa es la participación de redes telefónicas conmutadas públicamente o PSTN. Según Weinart, los sistemas PSTN no son completamente confiables el 100% del tiempo y es posible que un mensaje no llegue exactamente cuando sea necesario o se demore.
Otra cosa que mencionó fue que la autenticación multifactor que depende de la PSTN no puede mantenerse al día con los avances tecnológicos y, a menudo, puede no cumplir con las expectativas de la experiencia del usuario.
Además, diferentes cambios en las regulaciones a nivel regional o federal pueden alterar la capacidad de las empresas para entregar SMS y llamadas telefónicas, lo que hace que un método MFA que funcionaba antes sea inoperante o difícil de mantener.
Finalmente, Weinart menciona que tanto los SMS como las llamadas telefónicas no tienen inherentemente ningún tipo de cifrado y es técnicamente posible interceptarlos utilizando una variedad de hardware y malware.
Por supuesto, esto no significa que las personas deban dejar de usar MFA. Por el contrario, Weinart destacó la importancia de utilizar MFA siempre que sea posible y los beneficios de seguridad que aporta. Sin embargo, su consejo se centró en utilizar aplicaciones en lugar de SMS o servicios basados en voz.
Al final del día, el usuario habitual solo puede confiar en las opciones de MFA que le brinda un servicio. La decisión de utilizar una aplicación o mensajes de texto está en última instancia en manos del proveedor de servicios y el cliente y el usuario final solo pueden aceptar lo que se ofrece.
