Los fallos de diseño relacionados con SS7 nos son conocidos desde hace bastante tiempo, pero las empresas de telecomunicaciones han descartado convenientemente los argumentos diciendo que el riesgo es demasiado bajo debido a las importantes inversiones requeridas para realizar el ataque. Pero teniendo en cuenta las noticias recientes de que los piratas informáticos han realizado un ataque SS7 en el mundo real para eludir 2FA y desviar fondos, está bastante claro que el retorno de la inversión en estos ataques cubrirá los costos.
¿Deberíamos nosotros, como desarrolladores de aplicaciones y evaluadores de lápiz, considerar 2FA basado en SMS como una debilidad?