Desde iOS 12 las apps pueden autorrellenar los códigos de autenticación de doble factor que se envían mediante SMS de forma automática. Ahora, con los cambios de iOS 14, Apple da una vuelta de tuerca a la seguridad de estos códigos.
Más seguridad y menos phishing
Vaya por delante el hecho de que enviar un código de verificación de doble factor por SMS supone varios riesgos para la seguridad. El último ejemplo lo hemos visto en el ataque a Twitter, en el que se comprometieron varias cuentas, incluida la de Apple. Conscientes de esta situación los ingenieros de Apple han añadido una nueva funcionalidad a la que denominan “domain-bound code” que podemos traducir como un "código ligado a un dominio". Apple describe la funcionalidad en los siguientes términos:
Además, comenzando con iOS 14 y macOS Big Sur, estamos agregando una capa extra de seguridad a los códigos entregados por SMS, permitiéndole asociar los códigos con un dominio web específico.
Gracias a este cambio ahora iOS y macOS solo sugerirán el autorrelleno del código si el dominio que se especifica coincide con la página web o la app que estamos usando. De esta forma el código que nos envía, por ejemplo, Telegram, que está asociado al dominio telegram.org, solo podrá ser leído por Telegram, ya sea en su app o en su web.
Según Apple este cambio hace que sea mucho más difícil engañar al usuario en páginas web de phishing, tal como describe Apple en un documento de soporte para desarrolladores:
Por ejemplo, si recibe un mensaje SMS que termina con @ejemplo.com #123456, la función Autorrelleno le ofrecerá rellenar ese código cuando interactúe con example.com, cualquiera de sus subdominios o una aplicación asociada a example.com. Si, en cambio, recibe un mensaje SMS que termina con @ejemplo.net #123456, la función Autorrelleno no ofrecerá el código en example.com o en la aplicación asociada a example.com.
Imaginemos la web ejemplo.com, de la que existe una versión falsa llamada ejemplos.com. Cuando un usuario engañado introduce sus credenciales en esta página falsa, la página los reintroduce manualmente en la verdadera, causando que el usuario reciba un código de verificación. Hasta aquí, aunque la situación es peligrosa, aún no se ha producido el acceso a la cuenta. Ahora, gracias a que ejemplos.com no podrá acceder al código que ha enviado ejemplo.com el autorrelleno no ocurre y el usuario puede darse cuenta del error.
Está claro que en cuestiones de seguridad hasta el último detalle cuenta. Tal como ya dijo Apple en la presentación de los nuevos sistemas operativos, en estas versiones se han redoblado las mejoras en materia de seguridad. Esta es una pieza más del puzzle.
Más información | Apple
Ver 2 comentarios