Admitámoslo: todos usamos el correo electrónico, y todos usamos contraseñas. Las contraseñas crean una vulnerabilidad inherente al sistema. El índice de éxito de los ataques de phishing se está disparando, y las oportunidades de ataque se han multiplicado enormemente a medida que la vida se ha ido trasladando a Internet. Basta con que una contraseña se vea comprometida para que todos los demás usuarios sean víctimas de una violación de datos.
Por eso, para ofrecer una seguridad adicional, las identidades digitales se apoyan en los parches de verificación. La autenticación multifactorial (MFA) suele recurrir a factores de conocimiento como el restablecimiento de contraseñas y los códigos OTP, pero éstos siguen siendo vulnerables. Mientras las credenciales puedan ser compartidas o interceptadas, pueden ser utilizadas de forma indebida.
Lo que se necesita es un cambio de paradigma: pasar de las credenciales basadas en el conocimiento a una fuerte seguridad de factor de posesión que no pueda ser comprometida, junto con otras seguridades de verificación como la biométrica.
Una nueva API de factor de posesión pretende ahora hacer precisamente eso, sustituir las credenciales basadas en el conocimiento, utilizando la tarjeta SIM para la vinculación del dispositivo de factor de posesión y la autenticación del usuario, reduciendo así la posibilidad de suplantación de identidad.
Phishing: un problema humano
El phishing y otros tipos de ingeniería social se basan en que el factor humano es el eslabón más débil de una brecha. Aprovechan el cómodo acceso basado en credenciales que tiene el usuario medio de una plataforma, engañando a esos usuarios medios para que compartan sus credenciales. Y funciona: El 83% de las organizaciones encuestadas afirmó haber sufrido un ataque de phishing basado en el correo electrónico con éxito en 2021.
Incluso los códigos 2FA son ahora objetivos
Es sabido que las contraseñas pueden ser compartidas y, por tanto, fácilmente suplantadas. Pero un hecho menos conocido es que muchas formas de 2FA -como la OTP o el código PIN añadidos en un esfuerzo por reforzar las debilidades conocidas de las contraseñas- también son susceptibles de ser suplantadas.
Y lo que es peor, los delincuentes se dirigen ahora específicamente a estos métodos: los investigadores han descubierto recientemente que hay más de 1.200 kits de phishing diseñados para robar códigos 2FA.
La respuesta a la gestión de la identidad y el acceso, por tanto, no es aplicar más parches que acaben con la experiencia del usuario, ya que éstos no mantienen realmente alejados a los atacantes. En su lugar, la MFA necesita un factor de posesión más fuerte y sencillo, sin nada que teclear, lo que significa que no hay nada que suplantarlo.
Los factores de posesión de MFA diseñados a propósito incluyen dongles o tokens de seguridad. Pero son caros y no son algo que el usuario medio vaya a comprar. Una seguridad más fuerte para todos sólo puede funcionar con dispositivos que estén ampliamente disponibles, sean fáciles de usar, fáciles de integrar y rentables.
La tarjeta SIM. Está dentro del teléfono móvil de todo el mundo, y se basa en la seguridad criptográfica a la hora de conectarse a la autentificación de la red móvil.
Ahora, por primera vez, una API de tru.ID abre la autenticación de la red móvil basada en la tarjeta SIM a todas las empresas y desarrolladores de aplicaciones, lo que significa que se puede aprovechar la seguridad de la tarjeta SIM como factor de posesión seguro para la AMF.
Autenticación basada en la SIM: el nuevo factor de posesión resistente al phishing
La tarjeta SIM tiene mucho a su favor. Las tarjetas SIM utilizan la misma tecnología de microchip criptográfico de alta seguridad que está integrada en todas las tarjetas de crédito. Es difícil de clonar o manipular, y hay una tarjeta SIM en cada teléfono móvil, por lo que cada uno de sus usuarios ya tiene este hardware en su bolsillo.
La combinación del número de teléfono móvil con la identidad de la tarjeta SIM asociada (el IMSI) es una combinación difícil de falsificar, ya que se trata de una comprobación de autenticación silenciosa.
La experiencia del usuario también es superior. Las redes de telefonía móvil realizan habitualmente comprobaciones silenciosas de que la tarjeta SIM de un usuario coincide con su número de teléfono para permitirle enviar mensajes, realizar llamadas y utilizar datos, lo que garantiza la autenticación en tiempo real sin necesidad de iniciar sesión.
Hasta hace poco, las empresas no podían programar la infraestructura de autenticación de una red móvil en una aplicación con la misma facilidad que cualquier otro código. tru.ID pone la autenticación de la red al alcance de todos.
Añadir el SDK de tru.ID en los trayectos de las cuentas existentes que utilizan el número de teléfono móvil permite instantáneamente la seguridad del factor de posesión para cada usuario. Además, al no haber ninguna entrada adicional por parte del usuario, no hay ningún vector de ataque para los actores maliciosos: La autenticación basada en la tarjeta SIM es invisible, por lo que no hay credenciales ni códigos que robar, interceptar o utilizar indebidamente.
tru.ID no accede a la tarjeta SIM del usuario. En su lugar, verifica el estado de la tarjeta SIM directamente con el operador móvil en tiempo real. Comprueba que un número de teléfono no haya sido asignado a otra SIM y que haya habido cambios recientes en la misma, lo que ayuda a prevenir el fraude por intercambio de SIM.
Un ejemplo de escenario para permitir la verificación basada en la SIM
Aunque hay una serie de procesos descritos en el escenario siguiente, el usuario final del sistema sólo tiene que hacer una cosa: proporcionar su número de teléfono móvil.
- Una vez que el usuario proporciona su número de móvil, la API de tru.ID realiza una búsqueda del número de teléfono para determinar a qué operador de red móvil (ORM) está asignado.
2 – tru.ID solicita al MNO una URL de verificación única para comenzar el flujo de trabajo de autenticación móvil.
3 – tru.ID almacena la URL de verificación del MNO y devuelve una URL de verificación de tru.ID a su servidor web para que el dispositivo móvil la abra.
4 – La aplicación móvil abre la URL de comprobación de tru.ID. Es preferible utilizar los SDKs de tru.ID para esto porque obliga a que la petición web sea sobre una sesión de datos móviles.
5 – El MNO recibirá la solicitud web a través de una redirección de la plataforma tru.ID.
6 – La redirección final lleva al dispositivo al punto final de la url de redirección del servidor web. El cuerpo de esta solicitud contendrá un «código» y el «check_id», y el servidor web envía este código a la API de tru. ID para completar el proceso de SubscriberCheck.
7 – El MNO determina entonces si el número de teléfono asociado a la sesión de datos móviles autentificada coincide con el número de teléfono asociado a la URL de verificación solicitada. Si lo hace, el número de teléfono ha sido verificado con éxito.
8 – tru.ID realiza una búsqueda de la tarjeta SIM y almacena el resultado de su estado.
9 – Al finalizar la solicitud de URL de comprobación, y cuando se ha recuperado el estado de la tarjeta SIM, la aplicación móvil puede solicitar el resultado de la verificación del teléfono a la API de tru.ID.
10 – Utilice las propiedades de verificación del teléfono y cambio de tarjeta SIM no_sim_change dentro de la lógica de su aplicación.
Cómo empezar
Con la plataforma para desarrolladores de tru. ID, puede empezar a probar la autenticación basada en la tarjeta SIM de forma gratuita y realizar su primera llamada a la API en cuestión de minutos.
Para descubrir cómo la autenticación de próxima generación puede ofrecer experiencias de autenticación de alta seguridad y baja fricción a sus usuarios, simplemente reserve una demostración gratuita o visite tru.ID.
