Google eliminarà l’autenticació multifactor (MFA) basada en codis SMS en Gmail, segons ha informat Forbes. Esta mesura respon als creixents atacs cibernètics que exploten esta tecnologia per a comprometre els comptes. Google no ha especificat la data exacta de la transició a este nou sistema, però ha instat els usuaris a estar atents a futures actualitzacions.
Un portaveu de l’empresa va explicar que esta decisió forma part de la seua estratègia per a abandonar l’ús de contrasenyes en favor de mètodes més segurs, com les claus d’accés. Així mateix, va destacar que els delinqüents han utilitzat diverses tàctiques, com l’enginyeria social i l’intercanvi de SIM, per a interceptar els codis d’accés enviats per SMS, la qual cosa ha portat Google a buscar alternatives més segures.
Els codis SMS, encara que útils, tenen vulnerabilitats que els ciberdelinqüents han sabut aprofitar. Un dels mètodes més comuns és l’engany als usuaris perquè revelen els seus codis d’un sol ús (OTP) a través d’estafes. Un altre és l’atac d’intercanvi de SIM, en el qual els atacants aconseguixen prendre el control del número de telèfon de la víctima i els permet rebre els missatges de verificació. A més, hi ha “bombament de trànsit”, en què els atacants manipulen els proveïdors de servicis per a generar OTP cap a línies prèmium sota el seu control i obtindre beneficis econòmics.
El paper dels codis QR en l’autenticació
En el seu lloc, Google implementarà un sistema basat en codis QR, que permetrà als usuaris escanejar la imatge amb el dispositiu mòbil per a completar la verificació. Este canvi dificultarà que els atacants enganyen les víctimes, ja que compartir un codi QR és més complicat que compartir un codi numèric. També eliminarà la dependència dels proveïdors de xarxa i reduirà el risc d’atacs d’intercanvi de SIM.
No obstant això, els codis QR no estan exempts de riscos. Experts en ciberseguretat han advertit sobre el qishing, una tècnica en la qual els ciberdelinqüents envien codis QR fraudulents que redirigixen a llocs maliciosos. En campanyes recents, investigadors de Trend Micro van detectar atacs en els quals els estafadors enviaven codis QR falsos i es feien passar per mètodes legítims d’autenticació.
Referència: