Google eliminará la autenticación multifactor (MFA) basada en códigos SMS en Gmail, según ha informado Forbes. Esta medida responde a los crecientes ataques cibernéticos que explotan esta tecnología para comprometer cuentas. Google no ha especificado la fecha exacta de la transición a este nuevo sistema, pero ha instado a los usuarios a estar atentos a futuras actualizaciones.
Un portavoz de la empresa explicó que esta decisión forma parte de su estrategia para abandonar el uso de contraseñas en favor de métodos más seguros, como las claves de acceso. Asimismo, destacó que los delincuentes han utilizado diversas tácticas, como la ingeniería social y el intercambio de SIM, para interceptar los códigos de acceso enviados por SMS, lo que ha llevado a Google a buscar alternativas más seguras.
Los códigos SMS, aunque útiles, presentan vulnerabilidades que los ciberdelincuentes han sabido aprovechar. Uno de los métodos más comunes es el engaño a los usuarios para que revelen sus códigos de un solo uso (OTP) a través de estafas. Otro es el ataque de intercambio de SIM, en el que los atacantes logran tomar el control del número de teléfono de la víctima, permitiéndoles recibir los mensajes de verificación. Además, existe el «bombeo de tráfico», donde los atacantes manipulan a los proveedores de servicios para generar OTP hacia líneas premium bajo su control y obtener beneficios económicos.
El papel de los códigos QR en la autenticación
En su lugar, Google implementará un sistema basado en códigos QR, que permitirá a los usuarios escanear la imagen con su dispositivo móvil para completar la verificación. Este cambio dificultará que los atacantes engañen a las víctimas, ya que compartir un código QR es más complicado que compartir un código numérico. También eliminará la dependencia de los proveedores de red, reduciendo el riesgo de ataques de intercambio de SIM.
Sin embargo, los códigos QR no están exentos de riesgos. Expertos en ciberseguridad han advertido sobre el «qishing», una técnica en la que los ciberdelincuentes envían códigos QR fraudulentos que redirigen a sitios maliciosos. En campañas recientes, investigadores de Trend Micro detectaron ataques en los que los estafadores enviaban códigos QR falsos, haciéndose pasar por métodos legítimos de autenticación.
Referencias