Google reemplazará los códigos SMS inseguros de Gmail con verificación de escaneo QR

Aranzulla de Los Pobres

Desde que Google habilitó la verificación en dos pasos para Gmail y otros protocolos de autenticación vinculados en su ecosistema, los códigos SMS han sido un pilar. Pero según los análisis de seguridad, los códigos SMS son notoriamente inseguros, especialmente cuando el canal de comunicación no está cifrado. Eso finalmente está a punto de cambiar, ya que los códigos SMS pronto serán reemplazados por códigos QR para la autenticación de Gmail.

Cuando se trata de seguridad de cuentas, los SMS no son la opción más confiable para recibir códigos de verificación confidenciales o contraseñas de un solo uso (OTP) en los teléfonos. Es por eso que, en los últimos años, Google ha desarrollado constantemente alternativas de contraseñas, como mensajes de Google en el dispositivo , aplicaciones de autenticación , claves de seguridad de hardware y el sistema Passkey para minimizar riesgos como el phishing por SMS.

Ahora, Google planea eliminar por completo la verificación basada en SMS para la autenticación de Gmail (y con ella, la cuenta de Google). “Al igual que queremos superar las contraseñas con el uso de cosas como claves de acceso. Queremos dejar de enviar mensajes SMS para la autenticación”, afirmó el portavoz de Gmail, Ross Richendrfer, citado por Forbes .

¿Por qué los SMS no son seguros?

Al intentar iniciar sesión desde otro dispositivo, aparece el mensaje de la cuenta de Google.
Google implementó este sistema de solicitud de dispositivo para la verificación de cuentas en 2016. Google

Obtener códigos a través de un mensaje de texto es conveniente, pero no es sólo el camino y las elaboradas técnicas de phishing lo que hace que los SMS sean una ruta insegura. El intercambio de SIM, la ingeniería social y los ataques de suplantación de identidad también son técnicas bastante conocidas y, cuando se ejecutan esos planes, el propietario legítimo nunca recibe sus códigos de verificación por SMS.

Eso los deja excluidos de su propia cuenta de Gmail y de todos los servicios principales vinculados a ella, que también incluyen servicios de terceros que requieren iniciar sesión en una cuenta de Google. Además, en escenarios donde los usuarios no tienen acceso a redes celulares, obtener códigos de inicio de sesión a través de SMS se convierte en otro desafío.

¿Cómo pueden ayudar los códigos QR?

En los próximos meses, Google planea reemplazar los códigos SMS de seis dígitos y mostrará un código QR que los usuarios simplemente tendrán que escanear con la aplicación de la cámara de su teléfono. La compañía no ha compartido muchos detalles técnicos sobre esos planes, pero parece que Google probablemente crearía un protocolo que requeriría un protocolo de enlace seguro con un código QR con un teléfono verificado que ejecute el número de teléfono registrado.

Muestra de un código SDMQR que aparece en la pantalla de un iPhone.
En lugar de puntos en bloques, los códigos SDMQR utilizan elipses. Nadeem Sarwar / Tendencias digitales

No vale la pena aquí que los códigos QR no sean intrínsecamente infalibles. Las estafas con QR también son bastante comunes. Pero un sistema de escaneo QR que requiere una clave de decodificación local, o una clave pública segura entre sólo dos partes confiables, es mucho más seguro y rápido.

Recientemente cubrimos una de esas innovaciones llamada código QR de doble modulación y autoautenticación (SDMQR) que ya recibió una subvención del gobierno y pronto podría reemplazar los códigos de barras en diversas aplicaciones comerciales e industriales.

Desarrollado por expertos de la Universidad de Rochester, un código SDMQR se basa en un sistema de firma criptográfica que sólo puede desbloquearse con una clave privada digital. Estos códigos QR especializados no requerirán ninguna aplicación de escaneo especial y se pueden implementar en dispositivos móviles de todo el mundo a nivel de sistema operativo.