Una investigación reciente ha identificado riesgos significativos de privacidad en los sitios web que autentican a los usuarios a través de enlaces o códigos enviados por mensajes de texto. Este método, utilizado por numerosos servicios como seguros, listados de empleos y referidos, expone a millones a potenciales estafas y robo de identidad.
Para simplificar el proceso de inicio de sesión, muchos servicios requieren que los usuarios envíen un número de teléfono en lugar de crear un nombre de usuario y contraseña tradicional. Cuando un usuario intenta iniciar sesión, se envía un enlace o código por SMS. Sin embargo, un artículo publicado la semana pasada identificó más de 700 puntos de acceso utilizados por más de 175 servicios que comprometen la seguridad y privacidad del usuario.
Un problema crítico es el uso de enlaces fácilmente enumerables, aquellos que se pueden adivinar ajustando el token de seguridad en la URL. Tales modificaciones podrían implicar cambiar '123' a '124' o 'ABC' a 'ABD', permitiendo el acceso no autorizado a cuentas personales. Esto podría permitir a los atacantes ver información sensible o realizar negocios bajo la identidad de otro usuario.
Además, algunos enlaces de autenticación tienen combinaciones mínimas de tokens, haciéndolos susceptibles a ataques de fuerza bruta. Adicionalmente, algunos enlaces otorgan acceso o permiten la modificación de datos con solo un clic en el SMS, sin requerir ninguna otra autenticación. Alarmantemente, varios enlaces permanecen activos durante años, aumentando la posibilidad de uso no autorizado a largo plazo.