La autenticación en dos pasos se vende como la panacea universal para eludir a los ciberdelincuentes. Y no es un mal sistema, según informa Europa Press, hay estadísticasque demuestran que es una de las medidas de protección más populares en la actualidad para evitar que las passwords de acceso a cuentan en línea estén a merced de los ataques de los cibercriminales.
A pesar de que estos mecanismos logran bloquear alrededor del 99,99 % de los ataques automatizados en las cuentas que lo tienen activado, los cibercriminales ya han encontrado formas de burlarlos, según informa Panda en un comunicado difundido por Europa Press.
Un buen recurso para los ciberdelincuentes es el SIM Swapping
Y es que algunos ciberdelincuenteslo están consiguiendo interceptando los códigos de un solo uso que se envían en forma de SMS al 'smartphone' del usuario. Por ejemplo, se ha demostrado que mediante estafas de SIM Swapping posible eludir la verificación en dos pasos.
Este método implica que un atacante convenza al proveedor de servicios móviles de que es la víctima de un ataque, y luego solicite que el número de teléfono del propietario se cambie a un dispositivo de su elección. Debería solicitarse el DNI, incluso en persona, y hacer las mayores comprobaciones posibles, pero algunas empresas delegan en terceros de poca confianza este trabajo, y son fácilmente engañables.
No se trata del único método para vulnerar la autenticación de dos factores, ya que los ciberdelincuentes han ideado formas como las herramientas de proxy inverso o los ataques mediante la Google Play Store.
Los códigos de un solo uso basados en SMS pueden ser comprometidos a través de herramientas de proxy inverso, como Modlishka. Un proxy inverso es un tipo de servidor que recupera recursos en nombre de un cliente desde uno o más servidores distintos. Estos recursos se devuelven después al cliente como si se originaran en ese servidor web.
El sistema que burla la autenticación de dos factores mediante una función de Google Play
Pero algunos 'hackers' lo están modificando para reconducir el tráfico a páginas de inicio de sesión y a operaciones de 'phishing'. En esos casos, el 'hacker' intercepta la comunicación entre un servicio auténtico y una víctima, y rastrea (y registra) las interacciones de las víctimas con el servicio, incluidas las credenciales de inicio de sesión.
Asimismo, los cibercriminales han ideado otras formas de sortear la protección de dos factores mediante nuevos ataques basados en SMS, como uno que se vale de una función de Google Play para instalar automáticamente apps de la web en móviles Android.
Así, el atacante obtiene acceso a las credenciales para iniciar sesión en la cuenta de Google Play en un portátil (aunque en teoría el usuario tiene que recibir un aviso en su móvil inteligente), para después operar en el teléfono cualquier aplicación que desee.
Hay otro método similar, y requiere del uso de una aplicación especializada para sincronizar las notificaciones del usuario en diferentes dispositivos. Esto permite a los atacantes instalar una aplicación de duplicación de mensajes. Una vez que ha sido instaladas, se intentar convencer al usuario de que habilite los permisos necesarios para que la app funcione bien.
Aunque deben cumplirse varias condiciones para que los ataques mencionados funcionen, estos demuestran vulnerabilidades en los métodos de identificación de dos pasos basados en SMS, así como que estos ataques no requieren capacidades técnicas muy altas.