Santiago, 19° Cielos nubosos La autenticación de doble factor es mejor que nada, pero no es infalible: así puedes protegerte ante las principales amenazas
- 3 Horas, 29 Minutos
- XatakaMovil.com
- Tecnología
La autenticación de doble factor es mejor que nada, pero no es infalible: así puedes protegerte ante las principales amenazas
Hace un par de meses mi pareja sufrió el hackeo de su correo electrónico y entonces descubrimos en nuestras carnes la importancia de la autenticación de doble factor. Hubo cuentas que fueron atacadas en un abrir y cerrar de ojos, pero otras que tenían autenticación de doble factor aguantaron más.
Sí, la estrategia de claves de mi chica era manifiestamente mejorable (en casa del herrero, cuchillo de palo), pero lo de que no bastara con la contraseña y tener que recurrir a un SMS o a un código recibido al correo electrónico supone una capa extra de seguridad que puede ser efectivo en hackeos y en filtraciones masivas de datos.
Eso sí, la autenticación de dos pasos no es infalible: con phising, malware o algo como interceptar esos códigos puede burlarse. Y es más fácil y común de lo que parece. En este artículo exploramos las cinco principales vías para atacar con éxito la autenticación de doble factor. Así que la próxima vez que pase (si es que pasa), estaremos más preparadas.
Índice de Contenidos (5)
Interceptando los SMS
Para esta amenaza hay dos elementos clave: el centro de servicio de mensajes cortos que actúa como intermediario entre el emisor y el receptor y que los SMS no están cifrados.
La ruta de los SMS atraviesa siempre este centro de servicio, de modo que al enviar un SMS este pasa por el centro y luego este lo reenvía al destino. Así, aunque el receptor no esté disponible temporalmente, lo recibirá tarde o temprano ya que el centro lo retiene hasta que pueda ejecutarse la entrega. Eso sí, este centro es susceptible de ataques.
Como además los SMS no tienen encriptación, cualquiera que llegue hasta ellos puede leerlos. Y es más, si llega atacar el centro y tiene acceso a los mensajes, también puede hasta modificarlos para poner en su lugar un enlace de phising.
¿Cómo minimizar este riesgo? Habida cuenta que no tenemos potestad ni en el centro de mensajes ni en los SMS, lo mejor es elegir otro método de autenticación que no sean los SMS, ya que es el método más inseguro. Si no es posible, mejor leer con atención el contenido y nunca pulsar sobre enlaces que lleguen desde números desconocidos.
Con phising
El phising hace referencia a la suplantación de identidad para ofrecernos enlaces que parecen buenos pero no lo son. Y aunque existen apps como navegadores o de mensajería que intentan detectarlos, alguno puede escaparse. Si te llega un mensaje y tocas sobre en enlace y en el sitio de destino introduces tu cuenta de usuario y contraseña, ya has caído.
¿Incluso con una cuenta con autenticación de doble factor? Sí. Si el atacante tiene tus datos y los usa después para intentar entrar en tu cuenta y el servicio en cuestión tiene autenticación 2FA, entonces te llegará un mensaje. Si introduces el código en el sitio falso, el atacante también lo recibirá y podrá usarlo para acceder a tu información o cambiar tu contraseña.
Hay servicios, apps y webs que cuentan con una segunda capa de seguridad que al confirmar ciertos cambios importantes requieren de nueva autenticación, pero son minoría. Si no es el caso, nuestra recomendación es extremar precauciones con esos mensajes y a dónde te llevan. Antes de introducir las credenciales, presta atención a todo: cómo está escrito, el número de origen, si funcionan el resto de enlaces... además, siempre te queda una alternativa: en lugar de añadir tus credenciales desde el enlace, sáltate ese paso y acude a la web escribiéndola por tu cuenta o acudiendo a la app en cuestión.
A través de otra cuenta
Me explico: para evitarnos crear otras contraseñas, hay servicios que ofrecen la posibilidad de crear cuentas a partir de otras, por ejemplo valiéndonos de nuestras cuentas de Google, Apple o Facebook. Este sistema se llama 'OAuth' y aunque es cómodo, añade nuevos riesgos. El primero de todos es que si alguien ataca con éxito esa cuenta madre, las que estén vinculadas correrán peligro.
Pero hay más: los atacantes pueden suplantar el proceso de consentimiento de OAuth para saltarse la autenticación de doble factor. La idea es la siguiente: te llega un mensaje de phising como el anterior induciéndote a iniciar sesión con tu otra cuenta. Justo después recibirás una notificación legítima de esa cuenta madre solicitando los permisos. Si dices que sí, darás acceso a la información esquivando la autenticación de doble factor.
Como en el caso anterior, la mejor forma de protegerse es prestando atención al mensaje de phising recibido: el número de procedencia, cómo es el enlace (qué pone y lo largo que es), la forma en la que está escrito y si hay errores ortográficos o de gramática. Y si notas que además pide más acceso y a más cosas, sospecha.
Ojo al bombardeo de notificaciones push
Hay apps que emplean notificaciones push para autenticarse, algo bastante común si intentas iniciar sesión desde otro dispositivo (por ejemplo, en tu cuenta de iCloud). Si alguien tiene tu correo y tu contraseña puede usar el simple pero efectivo truco de bombardearte con estas solicitudes a ver si hay suerte y apruebas alguna por error.
Esquivar esta bala es tan "sencillo" como aprobar solo las que reconozcas, evitar las demás y si lo detectas, cambiar cuanto antes contraseña por otra mejor para reforzar tu cuenta. Ojo porque en este proceso tendrás que entrar, lo que implica aprobar una solicitud legítima que puede perderse entre las falsas.
Las cookies del inicio de sesión son susceptibles de robo
Cada vez que inicias sesión en una web, esta genera y guarda un cookie de inicio de sesión para que sigas dentro en ese momento y próximamente, incluso aunque salgas de ella. La clave está en qué tiempo de caducidad tienen.
Si alguien roba tu cookie de inicio de sesión entonces podrá llegar a tu cuenta sin tener que introducir tus credenciales ni necesitar la autenticación. Además lo hará sin que te des cuenta. Puede que te resulte más incómodo, pero la forma de esquivar esta amenaza pasa por cerrar sesión de forma manual, algo especialmente recomendable en aquellos servicios que almacenen información sensible.
En Xataka Móvil | Este es el manual anti-hackeo de la NSA para proteger nuestros móviles y conexión a Internet
Portada | Alejandro Alcolea
-
La noticia
La autenticación de doble factor es mejor que nada, pero no es infalible: así puedes protegerte ante las principales amenazas
fue publicada originalmente en
Xataka Móvil
por
Eva R. de Luis
.
0 Comentarios