Surge un debate sobre la autenticación de dos factores por SMS después de que una víctima de cambio de SIM demandara a Coinbase
La comunidad de criptomonedas está debatiendo si la autenticación de dos factores (2FA) por SMS debería utilizarse para la seguridad de las cuentas tras la noticia de que un cliente de Coinbase ha demandado al exchange de criptomonedas por USD 96,000.
El 6 de marzo, Jared Ferguson presentó una demanda contra Coinbase en el Tribunal de Distrito de los Estados Unidos para el Distrito Norte de California, alegando que había perdido “el 90% de los ahorros de toda su vida” después de que unos ladrones de identidad retiraran fondos de su cuenta y Coinbase se negara a reembolsárselos.
Al parecer, Ferguson fue víctima de un tipo de usurpación de identidad conocido como “SIM swapping” o cambio de SIM, que permite a los estafadores hacerse con el control de un número de teléfono engañando al proveedor de telecomunicaciones para que vincule el número a su propia tarjeta SIM.
Esto les permite desviar cualquier SMS de la 2FA en una cuenta, y en esta situación supuestamente les permitió confirmar el retiro de USD 96,000 de la cuenta de Coinbase de Ferguson.
Ferguson afirmó que perdió el servicio después de que su teléfono fuera hackeado el 9 de mayo, y se dio cuenta de que los fondos habían sido retirados de su cuenta de Coinbase después de obtener una nueva tarjeta SIM y restaurar su servicio según las instrucciones de su proveedor de servicios T-Mobile.
T-Mobile ya fue demandada por una víctima de cambio de SIM en febrero de 2021 tras el robo de aproximadamente USD 450,000 en bitcoin (BTC).
Coinbase negó cualquier responsabilidad por el hackeo de la cuenta de Ferguson, diciéndole en un correo electrónico que es “responsable de la seguridad de su correo electrónico, sus contraseñas, sus códigos de 2FA y sus dispositivos.”
Los miembros de la comunidad de criptomonedas en general dudaban de que la demanda de Ferguson tuviera éxito, señalando que Coinbase fomenta el uso de aplicaciones de autenticación para 2FA en lugar de SMS y describe este último como la forma “menos segura” de autenticación.
I’m guessing his password was compromised because it was used on other sites, one of which got breached. Also, Coinbase encourages Authenticator app for 2FA by labeling it “secure” and SMS as “moderately secure”.
— Dave Ferguson (@_sc0rn) March 7, 2023
Supongo que su contraseña fue comprometida porque se utilizó en otros sitios, uno de los cuales fue violado. Además, Coinbase fomenta la aplicación Authenticator para 2FA etiquetándola como “segura” y SMS como “moderadamente segura”.
Algunos usuarios de Reddit que discutían la demanda en un post titulado “Nunca uses 2FA por SMS” llegaron a sugerir que este debería prohibirse, pero señalaron que era la única opción de autenticación disponible para muchos servicios, como dijo un usuario:
“Desgraciadamente, muchos de los servicios que utilizo aún no ofrecen 2FA por Authenticator. Pero definitivamente creo que el enfoque de SMS ha demostrado ser inseguro y debería prohibirse.”
La empresa de seguridad blockchain CertiK advirtió de los peligros de usar 2FA por SMS en septiembre; su experto en seguridad Jesse Leclere le dijo a Cointelegraph que “2FA por SMS es mejor que nada, pero es la forma más vulnerable de 2FA actualmente en uso.”
Leclere dijo que las aplicaciones dedicadas a la autenticación, como Google Authenticator o Duo, ofrecen casi toda la comodidad de usar SMS 2FA, al tiempo que eliminan el riesgo de cambio de SIM.
Los usuarios de Reddit compartieron consejos similares, pero añadieron que las aplicaciones de autenticación en los teléfonos también convierten a ese dispositivo en un único punto de fallo y recomendaron el uso de dispositivos de autenticación de hardware independientes.
Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión
Sigue leyendo:
Las inversiones en criptoactivos no están reguladas. Es posible que no sean apropiados para inversores minoristas y que se pierda el monto total invertido. Los servicios o productos ofrecidos no están dirigidos ni son accesibles a inversores en España.