La autenticación en dos pasos (2FA) por SMS no es segura

A raíz de varios correos de Yahoo pidiéndome que “les ayude a protegerme”, motivados claramente por la gran fuga de usuarios y contraseñas en el último “hack” que han tenido, intenté no sólo cambiar la contraseña (de nuevo) como pedían si no activar la autenticación en dos pasos.

Para mi sorpresa veo que la única forma que proponen es mediante SMS, lo cual tiene bastantes peligros:

1. Vulnerabilidades en la red SS7
2. Accesos ilegales a la infraestructura de las operadoras
3. Antenas de telefonía ocultas (rogue cell towers)
4. Gateways de SMS comprometidos

En este artículo (en inglés) se describen todos estos problemas en detalle y lo fácil que puede ser secuestrar nuestros SMS. Si Yahoo quiere que de verdad se le tome en serio en cuestiones de seguridad (¿es posible a estas alturas?) no debería cometer estos errores.

A raíz de esto hoy la gran noticia en el barrio de los cuñados de Twitter es que “¡los rusos han hackeado Telegram!”

https://twitter.com/flyryan/status/818981795249131520

Desmentido totalmente y posiblemente haciendo referencia a lo fácil que es secuestrar los sms para una operadora

https://twitter.com/durov/status/819210681123819521

Solventable en Telegram activando la verificación en dos pasos con contraseña desde Ajustes → Privacidad y seguridad → Verificación en dos pasos

De nuevo: Cualquier app que sólo con un sms puedas tener acceso NO es segura.