Por qué el Autocompletar del código de seguridad de iOS 12 es arriesgado + Cómo protegerse

Una de las adiciones más pequeñas en la próxima actualización de iOS 12 de Apple es un pequeño ingenioso que hace que se llame Autocompletar código de seguridad.

Básicamente, es un sistema que facilita enormemente la introducción de códigos de autenticación de dos factores al iniciar sesión.

Pero por mucho que sirva, un investigador de seguridad ve el Autocompletar del código de seguridad como una vulnerabilidad potencial que podría ser aprovechada por atacantes malintencionados.

He aquí por qué necesita saberlo.

Código de seguridad Autocompletar iOS 12

Iniciar sesión en una cuenta con autenticación de dos factores generalmente implica dos pasos separados, de ahí el nombre.

Ingresarás tu nombre de usuario y contraseña, y luego recibirás un mensaje de texto SMS con un código de un solo uso. Una vez que ingrese ese código, podrá iniciar sesión.

Pero iOS 12 maneja esto un poco diferente. Puede detectar automáticamente cuando recibe un código de autenticación de dos factores (también conocido como código de acceso de un solo uso u OTP).

RELACIONADO:

• Funciones de seguridad de iOS 12
• ¿Qué es una contraseña segura? ¿Por qué mi iPhone elige contraseñas por mí?
• Las 25 funciones principales de iOS 12 que valen la pena

Luego, el sistema registrará ese nombre y le dará la opción de ingresarlo con un solo clic. En iOS 12, aparecerá como una opción sobre el teclado con una nota que indica que es "De mensajes".

Por supuesto, esto puede ahorrar bastante tiempo, ya que evita que tenga que saltar entre aplicaciones o memorizar la OTP en un instante.

Pero la facilidad de uso también es la razón por la que podría ser un riesgo para la seguridad en determinadas circunstancias.

Cual es el riesgo

Principalmente, el riesgo reside en las instituciones financieras. Aunque es probable que existan otros casos en los que la función Autocompletar códigos de seguridad podría ser riesgosa, este es el escenario más preocupante.

Andreas Gutmann, investigador de seguridad del Centro de Innovación de Cambridge de OneSpan, dice que el problema más urgente se centra en algo llamado número de autenticación de transacciones (TAN).

¿Qué es un TAN?

Al igual que la autenticación de dos factores, un TAN es un código de un solo uso que se envía a su teléfono. Pero un TAN no es para iniciar sesión, sino que es una forma de agregar protección 2FA a las transacciones financieras.

Básicamente, cuando transfieres dinero o realizas un pago, un banco enviará un TAN a tu teléfono como un paso de verificación adicional para garantizar que no haya ninguna tontería.

Ingresa este TAN en un campo apropiado y la transacción se aprueba por su parte. Si recibe un TAN pero no realizó ninguna transacción reciente, se supone que debe comunicarse con su banco de inmediato.

Si bien todavía no están muy extendidas en los EE. UU., Las transacciones protegidas por TAN son bastante comunes en Europa y otras regiones.

El riesgo con el Autocompletado del código de seguridad

Dado que el Autocompletar del código de seguridad extrae automáticamente un código de acceso de un solo uso de los mensajes, omite todo el contexto relevante.

Para la banca, ese contexto, como la cantidad financiera o el destino del pago, es fundamental para saber si una transacción es legítima.

"El hecho de que un usuario verifique esta información destacada es precisamente lo que proporciona el beneficio de seguridad", escribió Gutmann en una publicación de blog. "Eliminar eso del proceso lo vuelve ineficaz".

En otras palabras, la nueva función de Apple para ahorrar tiempo podría potencialmente hacer que los usuarios sean más vulnerables al fraude financiero o ataques de intermediarios.

Un usuario, en teoría, podría ingresar automáticamente una OTP para aprobar una transacción financiera fraudulenta. Un atacante podría suplantar el Autocompletar un código de seguridad utilizando un sitio web o una aplicación maliciosos.

¿Puede Apple hacer algo al respecto?

Lo principal que podría hacer Apple es implementar algún tipo de medida en el Autocompletado del código de seguridad que pueda diferenciar entre una solicitud 2FA y un TAN.

Actualmente, no está claro si el Autocompletar del código de seguridad puede distinguir entre 2FA y TAN. Si puede, entonces este problema se convierte en un problema mucho menor.

Por supuesto, si suficientes personas expresan su preocupación de que el Autocompletado del código de seguridad sea una vulnerabilidad, Apple podría actualizarlo para mitigar el problema.

Cómo protegerse

Primero que nada, deberías no deshabilite la autenticación de dos factores en cualquiera de sus cuentas.

Si bien la autenticación de dos factores basada en SMS es un sistema relativamente defectuoso que es propenso a la interceptación o los ataques, es mucho mejor que simplemente confiar en una contraseña.

Si está en Europa, lo mejor que puede hacer es volver a verificar cada OTP o 2FA que reciba. Solo toma un par de segundos pasar a Mensajes y verificar la información contextual.

Eso es especialmente cierto si no puede distinguir fácilmente entre un código de acceso TAN y 2FA sin verificar el mensaje de texto SMS original.

Si no se encuentra en un país que usa TAN, probablemente sea inteligente verificar las OTP sospechosas que se envían a su dispositivo. Si no está iniciando sesión activamente y recibe un mensaje de texto OTP, es probable que algo esté mal.

Además, esté atento a que los sistemas TAN se implementen de manera más amplia en los bancos de EE. UU. Europa, en los últimos tiempos, ha liderado la carga en lo que respecta a los estándares de privacidad y seguridad. Es probable que los bancos e instituciones financieras de EE. UU. Adopten TAN en un futuro próximo.

También debe utilizar las mejores prácticas de seguridad en general al tratar con datos financieros o información de inicio de sesión. Incluso la mejor contraseña y la seguridad 2FA no pueden protegerlo de la ingeniería social.