Apple dentro de poco estaría sacando el SMS para la autenticación de dos factores
Una de las opciones disponibles cuando se utiliza la autenticación de dos factores de Apple (2FA) es un código enviado vía SMS. El instituto nacional estadounidense de estándares y tecnología, que establece los estándares para el software de autenticación, dice que la mensajería de texto no es suficientemente segura, y que su uso para la autenticación de dos factores en el futuro será prohibido.
Mientras que las directrices NIST no tienen el suficiente poder ante la ley, las empresas más importantes siguen las directrices recomendadas, lo que sugiere probablemente que Apple abandonará el soporte para la autenticación por SMS una vez que se publique la recomendación.
Estas son las opciones actuales de Apple para la autenticación de dos factores:
- Un código enviado a un dispositivo de confianza (iPhone, iPad, iPod Touch o Mac).
- Una llamada telefónica a un número de teléfono de confianza.
- Un código enviado por SMS a un número de teléfono de confianza.
El actual proyecto de NIST dice únicamente que las empresas deben garantizar que los números de teléfono de confianza estén asociados con una red móvil y no sean números virtuales de funcionamiento a través de un servicio de VoIP. Esto es porque los servicios de VoIP pueden verse comprometidos. Sin embargo, una sola frase al final de los textos dice que ‘la verificación de seguridad fuera de banda por medio de un SMS ya es obsoleto y ya no se permitirá en el futuro la utilización del mismo.’
Una fuente potencial de confusión aquí es que el término ‘fuera de banda’ ya que puede utilizarse de diferentes maneras. El término refiere a un canal separado físicamente, que en términos de telecomunicaciones se utiliza a veces para referirse a los servicios de VoIP. Sin embargo, en términos de seguridad, registrarse en una web para recibir un código de verificación por teléfono, también se consideraría fuera de banda. La referencia aquí parece ser el último, sugiriendo que se prescribirá el uso de SMS.