La práctica de enviar enlaces de inicio de sesión a través de SMS está poniendo en grave peligro la privacidad de millones de personas, exponiéndolas a estafas, robo de identidad y otros delitos. Investigaciones recientes han revelado que numerosos servicios, desde seguros hasta búsqueda de empleo y cuidadores de mascotas, utilizan este método para autenticar a sus usuarios, buscando simplificar el proceso de registro y evitar la gestión de contraseñas.
El problema radica en la debilidad de estos enlaces. Muchos son fácilmente predecibles, permitiendo a los atacantes adivinar o enumerar los tokens de seguridad simplemente modificando la URL. Esto abre la puerta a que terceros accedan a información personal sensible, como solicitudes de seguro incompletas, e incluso realicen transacciones en nombre del usuario legítimo. En algunos casos, los enlaces permanecen activos durante años, aumentando significativamente el riesgo.
Investigadores de varias universidades han demostrado que estos ataques son sencillos de ejecutar, incluso con hardware básico y conocimientos de seguridad web intermedios. Los mensajes SMS, al ser enviados sin cifrar, pueden ser interceptados y analizados. Los investigadores encontraron que más de 700 puntos de acceso que envían estos mensajes para más de 175 servicios diferentes ponen en riesgo a los usuarios. De estos, 125 servicios permitían la enumeración masiva de URLs válidas debido a tokens de baja entropía, facilitando a los atacantes el acceso a cuentas ajenas.
Las causas de esta vulnerabilidad recaen principalmente en los proveedores de servicios. Si bien se recomienda a los usuarios no compartir datos sensibles con fuentes no confiables, en este caso, incluso proveedores establecidos con millones de usuarios están implicados. La popularidad de este método se debe a la baja fricción percibida para los clientes y a la evitación de la gestión de contraseñas, que a menudo son robadas. Sin embargo, la suposición de que solo el destinatario legítimo recibirá el mensaje es errónea, y la falta de revisiones de seguridad en los sistemas de los proveedores agrava el problema.
Aunque la autenticación mediante enlaces enviados por correo electrónico (conocidos como "magic links") puede ser más segura si se implementan correctamente (tiempos de expiración cortos, tokens seguros y verificación en dos pasos), la práctica de los enlaces por SMS sin estas precauciones representa una amena za significativa. La mayoría de las personas no pueden hacer mucho para protegerse directamente, ya que el problema es sistémico. De los proveedores contactados, muy pocos han tomado medidas para solucionar estas fallas de seguridad, lo que sugiere que esta vulnerabilidad persistirá en el futuro cercano.
Fuente Original: https://arstechnica.com/security/2026/01/millions-of-people-imperiled-through-sign-in-links-sent-by-sms/
Artículos relacionados de LaRebelión:
- Acer demanda a gigantes moviles por patentes celulares
- Uber Cache Inteligente para Millones de Consultas
- Intel Apuesta Fuerte por el Proceso 14A CEO Confirma planes
- Wing Commander Privateer El Juego Que Definio Mi Amor por Sandbox
- Autores Demandan a Gigantes IA por Libros Piratas
Artículo generado mediante LaRebelionBOT
No hay comentarios:
Publicar un comentario