Una de las adiciones más pequeñas en la próxima actualización de iOS 12 de Apple es un poco inteligente que hace que se llame Autocompletar código de seguridad.

Básicamente, es un sistema que facilita la entrada de códigos de autenticación de dos factores al iniciar sesión mucho más fácil.

Pero por mucho bien que lo haga, un investigador de seguridad ve el Autocompletado del código de seguridad como una vulnerabilidad potencial que los atacantes malintencionados podrían aprovechar.

Aquí es por qué necesita saberlo.

Código de seguridad Autocompletar iOS 12

Iniciar sesión en una cuenta con autenticación de dos factores generalmente implica dos pasos separados, de ahí el nombre.

Ingresará su nombre de usuario y contraseña, y luego recibirá un mensaje de texto SMS con un código de uso único. Una vez que ingrese ese código, podrá iniciar sesión libremente.

Pero iOS 12 maneja esto un poco diferente. Puede detectar automáticamente cuándo recibe un código de autenticación de dos factores (también conocido como código de acceso único u OTP).

RELACIONADO:

El sistema registrará ese nombre y le dará la opción de ingresarlo con un solo clic. En iOS 12, aparecerá como una opción sobre el teclado con una nota que indica que es “De mensajes”.

Por supuesto, esto puede ahorrar bastante tiempo ya que evita tener que saltar entre aplicaciones o memorizar la OTP en un instante.

Pero la facilidad de uso también es la razón por la cual podría ser un riesgo de seguridad en ciertas circunstancias.

Cuál es el riesgo

Principalmente, el riesgo recae en las instituciones financieras. Aunque es probable que haya otros casos en los que el Autocompletado del código de seguridad podría ser riesgoso, este es el escenario más preocupante.

Andreas Gutmann, investigador de seguridad en el Centro de Innovación Cambridge de OneSpan, dice que el problema más acuciante se centra en algo llamado número de autenticación de transacción (TAN).

¿Qué es un TAN?

Al igual que la autenticación de dos factores, un TAN es un código de una sola vez que se envía a su teléfono. Pero un TAN no es para iniciar sesión; en cambio, es una forma de agregar protección 2FA a las transacciones financieras.

Básicamente, cuando transfiere dinero o realiza un pago, un banco enviará un TAN a su teléfono como un paso de verificación adicional para garantizar que no ocurra ninguna tontería.

Ingresa este TAN en un campo apropiado y la transacción se aprueba de su parte. Si recibe una TAN pero no realizó ninguna transacción reciente, debe comunicarse con su banco de inmediato.

Aunque todavía no está muy extendido en los EE. UU., Las transacciones protegidas por TAN son bastante comunes en Europa y otras regiones.

El riesgo con Autocompletar código de seguridad

Dado que el Autocompletado del código de seguridad extrae automáticamente un código de acceso único de los mensajes, omite todo el contexto relevante.

Para la banca, ese contexto, como el monto financiero o el destino del pago, es fundamental para saber si una transacción es legítima.

“El hecho de que un usuario verifique esta información destacada es precisamente lo que proporciona el beneficio de seguridad”, escribió Gutmann en una publicación de blog. “Eliminar eso del proceso lo vuelve ineficaz”.

En otras palabras, la nueva función de ahorro de tiempo de Apple podría potencialmente hacer que los usuarios sean más vulnerables al fraude financiero o los ataques de intermediarios.

Un usuario, en teoría, podría ingresar automáticamente una OTP para aprobar una transacción financiera fraudulenta. Un atacante podría potencialmente falsificar un Autocompletado de código de seguridad utilizando un sitio web o aplicación maliciosa.

¿Puede Apple hacer algo al respecto?

Lo principal que Apple podría hacer es implementar algún tipo de medida en el Autocompletado del código de seguridad que puede diferenciar entre una solicitud 2FA y un TAN.

Actualmente no está claro si el Autocompletado del código de seguridad puede distinguir entre 2FA y TAN. Si puede, entonces este problema se vuelve mucho menos problemático.

Por supuesto, si suficientes personas expresan preocupación por la seguridad del Autocompletado del Código de Seguridad, Apple podría actualizarlo para mitigar el problema.

Cómo protegerse

En primer lugar, debe no deshabilitar la autenticación de dos factores en ninguna de sus cuentas.

Si bien la autenticación de dos factores basada en SMS es un sistema relativamente defectuoso que es propenso a la intercepción o los ataques, es mucho mejor que simplemente confiar en una contraseña.

Si estás en Europa, lo mejor que puedes hacer es verificar dos veces cada OTP o 2FA que recibas. Solo toma un par de segundos pasar a Mensajes y verificar la información contextual.

Eso es especialmente cierto si no puede distinguir fácilmente entre un código de acceso TAN y 2FA sin verificar el mensaje de texto SMS original.

Si no se encuentra en un país que utiliza TAN, probablemente sea inteligente verificar OTP sospechosos que se envían a su dispositivo. Si no está iniciando sesión activamente y recibe un mensaje de texto OTP, es probable que algo esté mal.

Además, esté atento a que los sistemas TAN se implementen más ampliamente en los bancos estadounidenses. En los últimos tiempos, Europa ha liderado la carga en lo que respecta a los estándares de privacidad y seguridad. Es probable que TAN pueda ser adoptado por bancos e instituciones financieras de EE. UU. En el futuro cercano.

También debe utilizar las mejores prácticas de seguridad en general al tratar con datos financieros o información de inicio de sesión. Incluso la mejor contraseña y la seguridad 2FA no pueden protegerlo de la ingeniería social.

Mike es un periodista independiente de San Diego, California.

 

Si bien cubre principalmente Apple y la tecnología de consumo, tiene experiencia pasada escribiendo sobre seguridad pública, gobierno local y educación para una variedad de publicaciones.

 

Ha usado bastantes sombreros en el campo del periodismo, incluyendo escritor, editor y diseñador de noticias.