La autenticación de un solo factor no debería usarse más

Índice de Contenido
  1. No se debe utilizar más la autenticación de un solo factor
  2. La autenticación de dos factores aún puede ser eludida
  3. Técnica de bots para interceptar códigos OTP
  4. Diferentes servicios de bots disponibles
  5. Cómo protegerse de esta amenaza

No se debe utilizar más la autenticación de un solo factor

La autenticación de un solo factor ha sido el estándar durante muchos años en los servicios de Internet, pero claramente carece de seguridad. Si un atacante obtiene las credenciales necesarias para acceder a dicho servicio, digamos un correo electrónico, podrá acceder a todos los datos si no existe una protección adicional después del paso de inicio de sesión. La autenticación de un solo factor fue añadida por la Agencia de Ciberseguridad e Infraestructura en su lista de malas prácticas en agosto de 2021.

La forma más común de añadir seguridad es agregar una segunda capa de autenticación (autenticación de dos factores), generalmente una contraseña de un solo uso que se puede recibir en un teléfono inteligente a través de SMS o en aplicaciones de autenticación como Google Authenticator o Duo Security.

La autenticación de dos factores aún puede ser eludida

Aunque la autenticación de dos factores aumenta drásticamente la seguridad de los servicios de Internet, aún puede ser eludida mediante algunos métodos. Uno de estos métodos consiste en comprometer el teléfono de la víctima para robar la información de la autenticación de dos factores y utilizarla para iniciar sesión con éxito en un servicio habilitado para la autenticación de dos factores. El malware Escobar es un ejemplo de este tipo de malware.

Otro método consiste en utilizar trucos de ingeniería social para persuadir al propio usuario de proporcionar el código de autenticación de dos factores al atacante. En ese caso, el atacante generalmente finge ser alguien con un interés legítimo en la cuenta, como un empleado de una empresa bancaria o un empleado del personal de seguridad informática. Una vez que el atacante obtiene el código de autenticación de dos factores, puede iniciar sesión silenciosamente utilizándolo junto con las credenciales que ya posee, suplantando al usuario.

Este método es complicado para algunos ciberdelincuentes por diferentes razones. En primer lugar, necesitan usar una forma segura de realizar la llamada telefónica para que una investigación no los conduzca directamente a ellos. Luego, necesitan interactuar personalmente con el objetivo en el teléfono. Algunos actores de amenazas pueden no ser buenos actuando por teléfono o incluso no hablar el mismo idioma que su objetivo. Aquí es donde las nuevas tecnologías, como los sistemas de respuesta de voz interactiva, resultan útiles, ya que evitan que el ciberdelincuente tenga que hablar personalmente con la persona objetivo.

Técnica de bots para interceptar códigos OTP

Cyble ha expuesto diferentes bots utilizados por ciberdelincuentes para eludir la autenticación de dos factores mediante la interceptación de contraseñas de un solo uso de sus objetivos. Para todos estos sistemas, la técnica es siempre la misma una vez que el ciberdelincuente se ha registrado y pagado por el servicio fraudulento (Figura A).

Protección antivirus en línea: McAfee Clinic lleva la seguridad de tu PC al siguiente nivel

Figura A

En primer lugar, el atacante accede al servicio de Internet que desea utilizar y proporciona las credenciales de las víctimas que obtuvo previamente. Al mismo tiempo, el atacante selecciona el modo relevante para el sistema objetivo e introduce el número de teléfono móvil de la víctima y el nombre del banco o servicio en el bot. Entonces, el bot inicia una llamada haciéndose pasar por el banco o servicio utilizando el sistema de respuesta de voz interactiva y solicita la contraseña de un solo uso. Una vez que la víctima proporciona el código al bot, el atacante lo recibe y puede acceder ilegalmente al servicio comprometido.

Diferentes servicios de bots disponibles

SMSranger es un bot basado en Telegram. Parece ser muy popular entre los ciberdelincuentes y ofrece servicios en el Reino Unido, Francia, España, Alemania, Italia y Colombia, según Cyble. La suscripción para el servicio es de $399 al mes o $2,800 para uso de por vida.

"El bot SMSranger cuenta con modos específicos dirigidos a la banca minorista, PayPal, Apple Pay, usuarios de correo electrónico, consumidores de operadores móviles y servicios al cliente", dijo Cyble. "El modo de servicios al cliente supuestamente permitía a los estafadores conectarse a una víctima a través de una llamada telefónica cifrada de par a par, brindaba opciones para mantener la llamada con música de fondo y enviar mensajes durante la llamada".

OTP BOSS es otro de esos servicios fraudulentos, que cuesta $1,200 al mes. Este servicio es capaz de dirigirse a personas en Estados Unidos, Canadá, Reino Unido, Francia, España, Alemania, Italia y Colombia, y recientemente agregó Australia, Singapur, Malasia y Bélgica (Figura B).

Figura B

Cómo proteger tu computadora de los virus: métodos y consejos

Según la investigación, los actores de amenazas que operan el bot OTP BOSS también están muy involucrados en la monetización de cheques bancarios falsificados, cuentas comprometidas y tarjetas de pago.

PizzaOTP es otro servicio, con un costo de $350 al mes, que puede dirigirse a usuarios en Estados Unidos, India, Canadá, Reino Unido, Australia, Alemania, Francia, Italia, Brasil, España, Portugal, Israel, Austria, Suiza y Pakistán.

Existen y han existido varios otros servicios, pero muchos fueron cerrados repentinamente en 2021, probablemente debido a operaciones de las fuerzas del orden. También existen servicios similares en la plataforma Discord, con la posibilidad de que haya más en plataformas de mensajería instantánea.

Cómo protegerse de esta amenaza

Esta amenaza solo es efectiva si el atacante ya tiene en su posesión el primer canal de autenticación. La mayoría de las veces, esto será credenciales válidas como un nombre de usuario y una contraseña.

En caso de que el atacante ya haya obtenido estas credenciales, se recomienda no compartir ninguna información confidencial en ninguna llamada de respuesta de voz interactiva entrante que no sea iniciada por uno mismo. Si llega una llamada de este tipo, podría significar que el primer canal de autenticación ya está en posesión del atacante, por lo que se recomienda cambiarlo de inmediato.

También se recomienda crear conciencia sobre este tipo de fraude, especialmente al informar a todos los usuarios de que ninguna empresa bancaria ni ningún otro servicio en línea nunca solicitará el código de autenticación de un solo uso del usuario.

¡Defiéndete! Protege tu seguridad en línea contra amenazas críticas

Finalmente, se recomienda mantener actualizado todo el software y los sistemas operativos para evitar cualquier compromiso inicial de credenciales por parte de atacantes que aprovecharían una vulnerabilidad común.

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a La autenticación de un solo factor no debería usarse más , tenemos lo ultimo en tecnología 2023.

Artículos Relacionados

Subir

Utilizamos cookies para mejorar su experiencia de navegación, mostrarle anuncios o contenidos personalizados y analizar nuestro tráfico. Al hacer clic en “Aceptar todo” usted da su consentimiento a nuestro uso de las cookies.