El problema de las OTP por SMS: Por qué este método 2FA no es tan seguro como crees

Cada día, millones de personas confían en las contraseñas de un solo uso (OTP) por SMS para iniciar sesión en servicios, verificar identidades o autorizar transacciones. Aunque las OTP por SMS se han convertido en el método de autenticación de dos factores (2FA) más popular por su comodidad, distan mucho de ser seguras. Los ciberdelincuentes explotan sus vulnerabilidades a través del phishing, la ingeniería social y otras técnicas de fraude, poniendo a los usuarios en riesgo de robo de identidad y pérdidas financieras.
Los fallos de seguridad de las OTP por SMS
Las OTP por SMS son muy utilizadas porque casi todo el mundo tiene un teléfono móvil, lo que las convierte en una forma sencilla de añadir un segundo factor de autenticación. Sin embargo, los SMS nunca se diseñaron pensando en la seguridad. Los mensajes pueden ser interceptados, suplantados o manipulados, lo que permite a los piratas informáticos hacerse con cuentas.
Ataques habituales a las OTP por SMS
Smishing (suplantación de identidad por SMS)
El smishing es un ataque de phishing a través de mensajes de texto. Los estafadores envían mensajes falsos haciéndose pasar por bancos, comercios o proveedores de servicios, e instan a los destinatarios a introducir sus datos de acceso u OTP en un sitio web malicioso. Una vez introducidos, los atacantes obtienen acceso completo a las cuentas de las víctimas. El smishing ha estado detrás de varias filtraciones de seguridad de gran repercusión, como la 2022 Filtración de datos de Activision.
Ataques de intermediario (MITM)
Como los SMS carecen de cifrado, los ciberdelincuentes pueden interceptar los mensajes utilizando programas maliciosos o redes fraudulentas. Los piratas informáticos han desarrollado redes de bots que se infiltran en los sistemas de telecomunicaciones, lo que les permite leer mensajes, rastrear ubicaciones y robar códigos de autenticación sin que los usuarios lo sepan.
Bots automatizados y kits de phishing
Investigadores de la Universidad Stony Brook encontraron más de 1.200 kits de phishing diseñados para robar códigos 2FA en uso activo. Los atacantes utilizan bots automatizados para engañar a los usuarios y que faciliten sus OTP, lo que permite transacciones fraudulentas y accesos no autorizados. La placa base de Vice habló con un vendedor que se jactaba de que estos bots pueden ser utilizados por cualquiera, aunque no tenga conocimientos de ingeniería social.
Fraude en el intercambio de SIM
Una de las amenazas más peligrosas es Fraude en el intercambio de SIM. Los atacantes engañan a los operadores de telefonía móvil para que transfieran el número de la víctima a una nueva tarjeta SIM bajo su control. Esto les permite recibir todas las OTP enviadas a ese número, eludiendo por completo la 2FA. Los fraudes por cambio de SIM han provocado importantes brechas y pérdidas financieras en todo el mundo.
Suplantación de identidad por SMS
Los hackers manipulan la información del remitente para que los mensajes parezcan proceder de una fuente de confianza. Esta técnica se utiliza habitualmente en estafas bancarias, en las que las víctimas introducen sin saberlo sus credenciales en sitios fraudulentos, lo que permite a los atacantes acceder a sus cuentas.
El fraude de los SMS: la estafa de los $6.700 millones
El fraude de bombeo de SMS, también conocido como tráfico inflado artificialmente (AIT, por sus siglas en inglés), es un esquema en el que los estafadores trabajan con personas con información privilegiada en los proveedores de telecomunicaciones para generar cantidades masivas de tráfico de SMS a números de tarificación adicional. Las empresas que pagan la factura de estos mensajes fraudulentos pierden miles de millones al año.
En enero de 2023, Elon Musk afirma que Twitter perdió $60m por el fraude de las bombas de SMS. En 2024 se informó de que hasta 35.000 millones de mensajes fraudulentoss fueron enviados por actores malintencionados a lo largo de 2023, costando a las empresas $1.160 millones.
Por qué los SMS OTP han dejado de ser eficaces
Más allá de los riesgos de seguridad, las OTP por SMS crean fricción en la experiencia del usuario. Requieren pasos adicionales, lo que provoca retrasos y frustración, y puede hacer que los usuarios abandonen las transacciones. Además, como las OTP pueden copiarse, reenviarse y suplantarse, no ofrecen una seguridad sólida.
El futuro de la autenticación: Autenticación silenciosa en red
Una alternativa mejor es la Autenticación de Red Silenciosa (SNA), que aprovecha la seguridad criptográfica de las tarjetas SIM y las redes móviles para una autenticación segura y sin fisuras. A diferencia de las OTP, este método es resistente al phishing, los ataques MITM y el fraude por intercambio de SIM.
Cómo funciona
SNA utiliza una conexión segura y cifrada entre un dispositivo móvil y el operador de red para verificar la identidad del usuario. Esto elimina la necesidad de OTP y garantiza que solo el usuario legítimo pueda acceder a su cuenta.
Principales ventajas de la autenticación de red silenciosa
- Seguro y resistente al fraude: A diferencia de las OTP por SMS, las SNA no pueden ser suplantadas, interceptadas ni falsificadas.
- Sin fisuras ni fricciones: Los usuarios se autentican automáticamente sin necesidad de introducir códigos manualmente, lo que mejora la experiencia del cliente.
- Universal y escalable: Funciona con todas las redes y dispositivos móviles, sin necesidad de aplicaciones ni hardware especiales.
- Elimina el fraude en el bombeo de SMS: Como la autenticación no depende de los SMS, las empresas evitan costes innecesarios derivados del tráfico fraudulento.
Un futuro más inteligente y seguro
Las limitaciones de las OTP por SMS las convierten en una solución obsoleta para la autenticación. La autenticación de red silenciosa ofrece una alternativa más segura y fácil de usar, aprovechando la seguridad integrada de las redes móviles. Ya está en uso y disponible para las empresas que buscan mejorar la seguridad a la vez que simplifican la experiencia de inicio de sesión.
Para saber más sobre cómo la Autenticación de Red Silenciosa de IDlayr puede proteger su negocio, Contacto hoy.