La criptocomunidad está debatiendo si la autenticación de dos factores (2FA) por SMS debería usarse alguna vez para la seguridad de la cuenta luego de la noticia de que un cliente de Coinbase está demandando al intercambio de criptomonedas por $ 96,000.
El 6 de marzo, Jared Ferguson presentó una demanda judicial contra Coinbase en el Tribunal de Distrito de los Estados Unidos para el Distrito Norte de California, alegando que perdió “el 90% de los ahorros de toda su vida” después de que los ladrones de identidad retiraran fondos de su cuenta y Coinbase se negara a reembolsarlo.
Se dice que Ferguson fue víctima de un tipo de robo de identidad conocido como “intercambio de SIM”, que permite a los estafadores obtener el control de un número de teléfono engañando al proveedor de telecomunicaciones para que vincule el número a su propia tarjeta SIM.
Esto les permite eludir cualquier SMS 2FA en una cuenta y, en esta situación, supuestamente les permitió confirmar el retiro de $ 96,000 de la cuenta Coinbase de Ferguson.
Ferguson afirmó que perdió el servicio después de que su teléfono fuera pirateado el 9 de mayo y notó que los fondos habían sido tomados de su cuenta de Coinbase después de obtener una nueva tarjeta SIM y restaurar su servicio según las instrucciones de su proveedor de servicios T-Mobile.
T-Mobile fue demandado previamente por una víctima de intercambio de SIM en febrero de 2021 luego del robo de aproximadamente $ 450,000 en Bitcoin (BTC).
Coinbase negó cualquier responsabilidad por el pirateo de la cuenta de Ferguson y le dijo en un correo electrónico que él es “responsable de la seguridad de su correo electrónico, sus contraseñas, sus códigos 2FA y sus dispositivos”.
Relacionado: El hacker devuelve los fondos robados a Tender.fi y obtiene una recompensa de 97.000 dólares
Los miembros de la comunidad cripto en general dudaban de que la demanda de Ferguson tuviera éxito, y señalaron que Coinbase fomenta el uso de aplicaciones de autenticación para 2FA en lugar de SMS y describe la última como la forma de autenticación “menos segura”.
Supongo que su contraseña se vio comprometida porque se usó en otros sitios, uno de los cuales fue violado. Además, Coinbase alienta la aplicación Authenticator para 2FA etiquetándola como “segura” y SMS como “moderadamente segura”.
— Dave Ferguson (@_sc0rn) 7 de marzo de 2023
Algunos usuarios de Reddit que discutieron la demanda en una publicación titulada “Nunca use SMS 2FA” llegaron a sugerir que SMS 2FA debería ser prohibidopero señaló que era la única opción de autenticación disponible para muchos servicios, como dijo un usuario:
“Desafortunadamente, muchos de los servicios que uso aún no ofrecen Authenticator 2FA. Pero definitivamente creo que el enfoque de SMS ha demostrado ser inseguro y debería prohibirse”.
La firma de seguridad de blockchain CertiK advirtió sobre los peligros de usar SMS 2FA en septiembre, y su experto en seguridad Jesse Leclere le dijo a Cointelegraph que “SMS 2FA es mejor que nada, pero es la forma más vulnerable de 2FA actualmente en uso”.
Leclere dijo que las aplicaciones de autenticación dedicadas como Google Authenticator o Duo ofrecen casi toda la comodidad de usar SMS 2FA y eliminan el riesgo de intercambio de SIM.
Los usuarios de Reddit compartieron consejos similares, pero las aplicaciones de autenticación agregadas en los teléfonos también hacen que ese dispositivo sea un único punto de falla y recomendaron el uso de dispositivos de autenticación de hardware separados.