Millones de personas corren el riesgo de ser víctimas de estafas y robo de identidad debido a sitios web que autentican a los usuarios a través de enlaces y códigos enviados por SMS, según una investigación publicada recientemente. Esta práctica, destinada a simplificar el proceso de inicio de sesión, deja a los usuarios vulnerables a una variedad de delitos.

El documento de investigación, publicado la semana pasada, identificó más de 700 puntos de acceso que envían dichos textos en nombre de más de 175 servicios. Estos servicios abarcan varios sectores, incluyendo cotizaciones de seguros, ofertas de empleo y referencias para cuidadores de mascotas y tutores. En lugar de exigir a los usuarios que creen y recuerden nombres de usuario y contraseñas, estos servicios solicitan un número de teléfono móvil durante el registro y luego envían enlaces de autenticación o códigos de acceso por SMS cuando el usuario quiere iniciar sesión.

Una vulnerabilidad clave reside en el uso de enlaces fácilmente enumerables, según el documento. Los estafadores pueden adivinar estos enlaces modificando el token de seguridad, que normalmente se encuentra al final de la URL. Esto les permite eludir al usuario previsto y obtener acceso no autorizado a las cuentas.

"La facilidad con la que se pueden manipular estos enlaces es alarmante", dijo [Expert Name], autor principal del estudio e investigador de ciberseguridad. "Abre la puerta a que actores maliciosos comprometan las cuentas de usuario a gran escala".

La dependencia de la autenticación basada en SMS ha crecido en los últimos años a medida que las empresas buscan optimizar la experiencia del usuario. Sin embargo, los expertos en seguridad han advertido durante mucho tiempo sobre los riesgos inherentes al uso de números de teléfono como factor de autenticación principal. Los mensajes SMS no están encriptados y pueden ser interceptados o falsificados.

La investigación destaca la necesidad de métodos de autenticación más sólidos, como la autenticación multifactor (MFA) que utiliza una combinación de factores, incluyendo algo que el usuario sabe (contraseña), algo que el usuario tiene (teléfono) y algo que el usuario es (biometría).

Si bien el documento no nombró los servicios específicos afectados, instó a los usuarios a ser cautelosos al hacer clic en los enlaces recibidos por SMS y a habilitar la MFA siempre que sea posible. Los investigadores también pidieron a las empresas que adopten prácticas de autenticación más seguras para proteger a sus usuarios de posibles daños.