Como los hackers eluden la autenticación de dos factores

Proteger una cuenta con solo un nombre de usuario y una contraseña no es muy inteligente. Ambos pueden ser robados, adivinados o descifrados con demasiada facilidad. Es por eso que se recomienda la autenticación de dos factores (2FA) para todos los puntos de acceso importantes. Incluso es obligatorio para la banca online desde hace años.

Con la 2FA, se utilizan dos factores para obtener acceso a una cuenta, una red o una aplicación. Un factor es una característica de seguridad que puede provenir de tres categorías:

• Conocimiento (contraseña, PIN)
• Posesión (teléfono inteligente, palo Fido2, etc.)
• Biometría (huella dactilar, reconocimiento facial, etc.)

Para que la 2FA proporcione una buena protección, los dos factores utilizados deben provenir de dos categorías diferentes. Si se utilizan más de dos factores, esto se conoce como autenticación multifactor.

La 2FA es muy segura, pero no invulnerable. Existen trucos y lagunas que los hackers pueden aprovechar para apoderarse de una cuenta.

{getCard} $type={post} $title={Recomendado}

1. El hombre del medio: el robo de 2FA a través del phishing

La conexión entre el usuario y la cuenta en línea está realmente protegida por la conexión segura TLS (Transport Layer Security). Los procedimientos técnicos están diseñados para garantizar que nadie pueda piratear esta conexión. Sin embargo, los atacantes pueden usar varios trucos para interponerse entre el usuario y su cuenta. Estos se conocen como ataques de "hombre en el medio". Estos vienen en diferentes variedades.

Páginas de phishing: Una de las mayores amenazas para la 2FA son los ataques de phishing. Los ciberdelincuentes utilizan sitios web falsos para engañar a los usuarios para que revelen sus datos de inicio de sesión. Las víctimas a menudo son atraídas a estos sitios de phishing a través de correos electrónicos, SMS o mensajes de Whatsapp que afirman ser de empresas legítimas.

Las páginas de phishing simples "sólo" roban los datos de inicio de sesión de un usuario. En un ataque de intermediario, el sitio web también intercepta el código para la autenticación de dos factores. A continuación, el atacante utiliza los datos para iniciar sesión en el servicio correspondiente inmediatamente después. Sin embargo, esto es crítico en el tiempo, ya que una contraseña de un solo uso generalmente solo es válida durante unos segundos.

En consecuencia, el ataque requiere mucho tiempo, ya que el atacante debe estar preparado cuando una víctima potencial ingresa sus datos en el sitio falso para iniciar sesión por sí mismo. Sin embargo, dado que estos ataques a menudo se pueden utilizar para robar dinero directamente, los delincuentes siempre intentan utilizar este método.

2. Man in the browser: Malware como un hombre en el medio

Una variante de la técnica del "hombre en el medio" utiliza malware que se incrusta directamente en el navegador de la víctima. El código malicioso espera hasta que el usuario haya iniciado sesión en su banco, incluido el 2FA, y luego manipula una transferencia de la víctima en segundo plano. Ejemplos de este tipo de malware son Carberp, Emotet, Spyeye y Zeus.

Los detalles correctos del importe y el destinatario de una transferencia aparecen en el navegador del usuario. Por lo tanto, los confirman con una contraseña de un solo uso. En realidad, sin embargo, el malware ha enviado en secreto un destinatario diferente y una gran cantidad como transferencia al banco.

Cómo protegerse: Casi todos los bancos le enviarán el monto de la transferencia nuevamente para que lo verifique al solicitar la contraseña de un solo uso para la autorización. En la mayoría de los casos, el IBAN del destinatario también se transmite en su totalidad o en parte. Compruebe siempre estos datos con mucho cuidado.

3. Contacto personal: Te están engañando para que te roben tu código

En muchos casos, los atacantes ya conocen el nombre de usuario y la contraseña de una cuenta en línea porque han obtenido estos datos de una colección de contraseñas en la darknet. O han introducido de contrabando un ladrón de información, es decir, malware, en el PC de la víctima.

Lo que los atacantes aún necesitan para iniciar sesión en la cuenta en línea de la víctima es el segundo factor. Lo obtienen llamando a la víctima. Se hacen pasar por empleados del banco y afirman, por ejemplo, que quieren introducir un nuevo procedimiento de seguridad. Para ello, afirman que necesitan autorización mediante el procedimiento 2FA del cliente.

Si la víctima autoriza una acción a través de 2FA en este momento, entonces no ha aceptado un nuevo procedimiento de seguridad, sino que ha transferido su dinero a la cuenta de los atacantes.

Cómo protegerse: Nunca transmita códigos y autorizaciones 2FA a otras personas ni los dé siguiendo las instrucciones de una persona que llama. Los empleados de servicio genuinos nunca le pedirán esa información secreta.

{getCard} $type={post} $title={Recomendado}

4. Intercambio de SIM: los atacantes roban tu tarjeta SIM

Durante un tiempo, las contraseñas de un solo uso que un usuario recibe por mensaje de texto desde su cuenta en línea se consideraron un método seguro para el inicio de sesión de dos factores. Pero luego los delincuentes desarrollaron el intercambio de SIM y vaciaron numerosas cuentas en línea, incluidos varios millones de intercambios de bitcoins en línea protegidos por 2FA. 

También en este caso, el requisito previo es que el atacante ya conozca el nombre de usuario y la contraseña de la víctima.

En el SIM swapping, también conocido como secuestro de SIM, el atacante toma el control del número de teléfono móvil de la víctima. El atacante hace que el proveedor de telefonía móvil le envíe una nueva tarjeta SIM o eSIM. El atacante lo activa en su propio teléfono móvil y recibe el mensaje de texto con la contraseña de un solo uso para el inicio de sesión de dos factores.

Los atacantes a menudo simplemente le dicen al proveedor de telefonía móvil que han perdido su teléfono móvil y solicitan una nueva tarjeta SIM. Esto debe enviarse a una nueva dirección. Si el proveedor de telefonía móvil no lo desea, los perpetradores pueden esperar hasta que el correo llegue a la dirección correcta de la víctima y vaciar el buzón antes que el destinatario real.

Esto, por supuesto, requiere mucho tiempo para los atacantes. Sin embargo, para las víctimas que tienen mucho dinero en su cuenta, obviamente vale la pena el esfuerzo para los delincuentes.

Cómo protegerse: Si es posible, no utilice SMS para 2FA. Los códigos de un solo uso, por ejemplo, de una aplicación de autenticación, son más seguros. En mi caso uso Authy y Google Autenticator.

5. El malware roba las cookies de autenticación

Muchos servicios con inicio de sesión de dos factores le ofrecen la opción de memorizar el navegador de Internet en su PC. A continuación, sólo tiene que iniciar sesión una vez con este navegador en este PC utilizando el segundo factor. La próxima vez que inicie sesión, no necesitará ningún dato de inicio de sesión o solo su nombre de usuario y contraseña.

Esto aumenta enormemente la comodidad, pero aumenta la superficie de ataque. Con este método, el servicio guarda una cookie de autenticación en su PC. Contiene sus datos de inicio de sesión de forma cifrada. Si los atacantes logran colocar un ladrón de información, es decir, malware, en su PC, pueden robar la cookie con la información de inicio de sesión. El atacante utiliza la cookie en su propio PC para abrir el servicio en línea sin necesidad de iniciar sesión o un segundo factor.

Un ejemplo de este tipo de ladrón de información es Lumma, que lleva atacando PC desde 2022 y se ofrece en foros clandestinos en ruso como "malware como servicio".

Cómo protegerse: Por supuesto, un buen programa antivirus debe estar instalado en todas las computadoras con Windows. Esto debería bloquear al ladrón de información. Además, puede usar sus cuentas con inicio de sesión de dos factores para que tenga que ingresar el segundo factor cada vez que inicie sesión. Esta suele ser la configuración predeterminada.

6. Factores de inseguridad como alternativa a la hora de iniciar sesión

Un error común con la 2FA es elegir un segundo factor inseguro (consulte el recuadro "Descripción general de la autenticación de dos factores"). Muchos usuarios siguen utilizando los SMS como segundo factor, a pesar de que su servicio en línea ya ofrece mejores métodos de 2FA. Sin embargo, los SMS, como segundo factor, son vulnerables a ataques como el intercambio de SIM (ver arriba).

El correo electrónico como segundo factor también se recomienda solo hasta cierto punto. A menos que usted mismo haya protegido su bandeja de entrada de correo electrónico con un inicio de sesión seguro de dos factores.

Los factores débiles también son peligrosos si solo los usas como respaldo. Muchos servicios en línea ofrecen la opción de almacenar varios factores de inicio de sesión en una cuenta. Esto también es útil, ya que puede cambiar a otro factor si algo no funciona.

Sin embargo, un atacante también puede recurrir a una de las otras opciones de inicio de sesión en cualquier momento. Una vez más, se aplica el adagio: una cadena es tan fuerte como su eslabón más débil.

Por lo tanto, si no solo protege una cuenta con la contraseña de un solo uso de su aplicación de autenticación, sino que también activa una contraseña de un solo uso por correo electrónico como opción de inicio de sesión, un atacante también puede usar esto.

Cómo protegerse: Es una buena idea almacenar varios factores para iniciar sesión en sus servicios, por ejemplo, contraseñas de un solo uso de la aplicación de autenticación y claves de acceso. Sin embargo, evite factores inseguros como los SMS y el correo electrónico (consulte el recuadro "Descripción general de la autenticación de dos factores").

En resumen, estos consejos harán que el inicio de sesión en un servicio con autenticación de dos factores sea más fácil y seguro.

Crea códigos de emergencia, imprímelos y guárdalos en un lugar seguro. Siempre debes llevar contigo dos o tres de estos códigos cuando viajes.

Activar más de un método 2FA. Por ejemplo, use una aplicación de autenticación y también un token de hardware. De esta manera, tiene una copia de seguridad en caso de que ni la aplicación ni los códigos de emergencia estén a mano.

No debe utilizar códigos 2FA a través de SMS para cuentas confidenciales. Esto se debe a que los delincuentes pueden robar la tarjeta SIM u obtener los códigos SMS a través del phishing.

Utilice una aplicación de autenticación con una función de copia de seguridad. Luego, puede llevar la aplicación, incluidos todos los códigos, a un nuevo teléfono inteligente. De lo contrario, todos los servicios 2FA tendrán que configurarse de nuevo si reinstala la aplicación.