Seamos realistas: todos usamos el correo electrónico y todos usamos contraseñas. Las contraseñas crean una vulnerabilidad inherente en el sistema. La tasa de éxito de los ataques de phishing es disparando, y las oportunidades para el ataque se han multiplicado enormemente a medida que las vidas se mueven en línea. Todo lo que se necesita es una contraseña comprometida para que todos los demás usuarios se conviertan en víctimas de una violación de datos.
Por lo tanto, para brindar seguridad adicional, las identidades digitales se basan en parches de verificación. La MFA (autenticación multifactor) a menudo recurre a factores de conocimiento como el restablecimiento de contraseñas y los códigos OTP, pero aún son vulnerables. Siempre que las credenciales se puedan compartir o interceptar, se pueden utilizar de forma indebida.
Lo que se necesita es un cambio de paradigma: de las credenciales basadas en el conocimiento a una sólida seguridad basada en el factor de posesión que no pueda verse comprometida, junto con otra seguridad de verificación, como la biometría.
Una nueva API de factor de posesión ahora tiene como objetivo hacer precisamente eso, reemplazando las credenciales basadas en el conocimiento, mediante el uso de la tarjeta SIM para el enlace del dispositivo de factor de posesión y la autenticación del usuario, reduciendo así la posibilidad de phishing.
Phishing: un problema humano
El phishing y otros tipos de ingeniería social se basan en el factor humano como el eslabón más débil en una brecha. Hacen uso del acceso conveniente basado en credenciales que se brinda al usuario promedio de una plataforma, al engañar a esos usuarios promedio para que compartan las credenciales. Y funciona: 83% de las organizaciones encuestadas dijeron que experimentaron un ataque de phishing basado en correo electrónico exitoso en 2021.
Incluso los códigos 2FA ahora son objetivos
Es bien sabido que las contraseñas se pueden compartir y, por lo tanto, se pueden suplantar fácilmente. Pero un hecho menos conocido es que muchas formas de 2FA, como la OTP o el código PIN agregado en un esfuerzo por reforzar las debilidades conocidas de las contraseñas, también son susceptibles de phishing.
Peor aún, los delincuentes ahora se están enfocando específicamente en estos métodos: los investigadores descubrieron recientemente que más de 1200 Los kits de phishing diseñados para robar códigos 2FA están en funcionamiento.
La respuesta a la gestión de identidades y accesos, por lo tanto, no es aplicar más parches que eliminen la experiencia del usuario, ya que estos realmente no mantienen alejados a los atacantes. En cambio, MFA necesita un factor de posesión más fuerte y más simple, sin nada que escribir, lo que significa nada para phishing.
Los factores de posesión de MFA diseñados específicamente incluyen dongles o tokens de seguridad. Pero son caros y no son algo que el usuario promedio compre. Una seguridad más sólida para todos solo puede funcionar con dispositivos ampliamente disponibles, fáciles de usar, fáciles de integrar y rentables.
Introduce la tarjeta SIM. Está dentro del teléfono móvil de todos y se basa en la seguridad criptográfica cuando se conecta a la autenticación de la red móvil.
Ahora, por primera vez, un API de tru.ID abre la autenticación de red móvil basada en SIM a todas las empresas y desarrolladores de aplicaciones, lo que significa que puede aprovechar la seguridad de la tarjeta SIM como factor de posesión segura para MFA.
Autenticación basada en SIM: el nuevo factor de posesión resistente al phishing
La tarjeta SIM tiene mucho a su favor. Las tarjetas SIM utilizan la misma tecnología de microchip criptográfico de alta seguridad que está integrada en todas las tarjetas de crédito. Es difícil de clonar o manipular, y hay una tarjeta SIM en cada teléfono móvil, por lo que cada uno de sus usuarios ya tiene este hardware en su bolsillo.
La combinación del número de teléfono móvil con su identidad de tarjeta SIM asociada (IMSI) es una combinación que es difícil de phishing ya que es una verificación de autenticación silenciosa.
La experiencia del usuario también es superior. Las redes móviles rutinariamente realizan verificaciones silenciosas de que la tarjeta SIM de un usuario coincida con su número de teléfono para permitirles enviar mensajes, hacer llamadas y usar datos, lo que garantiza la autenticación en tiempo real sin necesidad de iniciar sesión.
Hasta hace poco, las empresas no podían programar la infraestructura de autenticación de una red móvil en una aplicación tan fácilmente como cualquier otro código. tru.ID hace que la autenticación de red esté disponible para todos.
Adición del SDK tru.ID en los viajes de cuentas existentes que usan el número de teléfono móvil habilita instantáneamente la seguridad del factor de posesión para cada usuario. Además, sin intervención adicional del usuario, no existe un vector de ataque para los actores maliciosos: la autenticación basada en SIM es invisible, por lo que no hay credenciales ni códigos para robar, interceptar o utilizar indebidamente.
tru.ID no accede a la tarjeta SIM del usuario. En cambio, verifica el estado de la tarjeta SIM directamente con el operador móvil en tiempo real. Verifica que un número de teléfono no haya sido asignado a otra SIM y los cambios recientes de SIM, lo que ayuda a prevenir el fraude de intercambio de SIM.
Un escenario de ejemplo para habilitar la verificación basada en SIM
Aunque hay una serie de procesos descritos en el siguiente escenario, el usuario final del sistema solo tiene que hacer una cosa: proporcionar su número de teléfono móvil.
1 — Después de que el usuario proporciona su número de teléfono móvil, la API de tru.ID realiza una búsqueda del número de teléfono para determinar a qué operador de red móvil (MNO) está asignado.
2 — tru.ID solicita al MNO una URL de verificación única para comenzar el flujo de trabajo de autenticación móvil.
3 — tru.ID almacena la URL de verificación del MNO y devuelve una URL de verificación de tru.ID a su servidor web para que la abra el dispositivo móvil.
4 — La aplicación móvil abre la URL de comprobación de tru.ID. Se prefiere usar los SDK de tru.ID para esto porque obliga a que la solicitud web se realice a través de una sesión de datos móviles.
5 — El MNO recibirá la solicitud web a través de una redirección desde la plataforma tru.ID.
6 — La redirección final lleva el dispositivo al punto final de URL de redirección del servidor web. El cuerpo de esta solicitud contendrá un ‘código’ y el ‘check_id’, y el servidor web envía este código a tru. API de ID para completar el proceso SubscriberCheck.
7 — Luego, el MNO determina si el número de teléfono asociado con la sesión de datos móviles autenticada coincide con el número de teléfono asociado con la URL de verificación solicitada. Si es así, entonces el número de teléfono se ha verificado con éxito.
8 — tru.ID realiza una búsqueda de la tarjeta SIM y almacena el resultado de su estado.
9 — Al completar la solicitud de verificación de URL, y cuando se haya recuperado el estado de la tarjeta SIM, la aplicación móvil puede solicitar el resultado de la verificación del teléfono desde la API de tru.ID.
10 — Utilice la coincidencia de verificación del teléfono y las propiedades de cambio de tarjeta SIM `no_sim_change` dentro de la lógica de su aplicación.
Cómo empezar
con verdad plataforma de desarrollo de ID, puede comenzar a probar la autenticación basada en SIM de inmediato, de forma gratuita, y realizar su primera llamada a la API en cuestión de minutos.
Para descubrir cómo la autenticación de próxima generación puede brindar experiencias de autenticación de alta seguridad y baja fricción a sus usuarios, simplemente reserve una manifestación o visitar tru.ID.