El equipo de WebKit de Apple tiene una propuesta para estandarizar y asegurar los códigos de autenticación de dos factores de SMS con URL (a través de ZDNet).
URL de SMS
La idea del equipo tiene dos partes. El primero es asociar estos códigos SMS con una URL, agregando la URL directamente en el texto. La segunda parte sería un poco más difícil: estandarizar este formato para que otros navegadores y aplicaciones puedan trabajar con estos mensajes. Sin embargo, los ingenieros de Google Chromium ya están trabajando con el equipo de WebKit. Mozilla no ha hecho comentarios (todavía).
Eliminaría la interacción del usuario, porque un navegador o una aplicación podría detectar automáticamente el SMS, leer el dominio web, extraer el código de acceso e iniciar sesión. El formato se vería así, por ejemplo:
747723 es tuyo SITIO WEB Código de autenticación.
@sitio web.com #747723
Con esta propuesta, si una persona se enamora de un sitio web de phishing, habría una falta de coincidencia entre la URL del texto y la URL del sitio web falso. El sistema podría alertar a la persona de que no coincide.
Es una gran idea, pero aún no resuelve la mayor debilidad con la autenticación de dos factores por SMS: el intercambio de SIM. En este ataque, alguien podría hacerse pasar por usted y hacer que su operador transfiera su número a la tarjeta SIM del atacante. Entonces podrían recibir sus códigos SMS, incluso con la propuesta de WebKit.
Una forma de mitigar esta amenaza es crear un PIN de SIM, y explico cómo hacerlo con el enlace a continuación.
Otras lecturas
[iOS: Create an iPhone SIM PIN to Further Safeguard Your Device]
[Amazon’s 2019 Transparency Report Shows Slight Decline in Government Requests]
