Uno de los mecanismos más utilizados por los proveedores de servicios digitales por su fiabilidad es la verificación de dos pasos o verificación de doble factor. Esta permite proteger una cuenta o perfil además de con contraseña con otro método. Uno de los más extendidos para comprobar que el usuario es quién dice ser es el envío de un código numérico por SMS a un smartphone.
Sin embargo, no se trata de una técnica infalible. Un estudio llevado a cabo por investigadores de la Universidad de Stony en colaboración con Palo Alto Networks pone de relevancia varias maniobras que permitirían saltarse la seguridad de la verificación de doble factor. La clave estaría en los kits de herramientas de phishing.
Estos programas han sido diseñados por ciberdelincuentes y se venden en la dark web, con el fin de que otros usuarios sin muchos conocimientos técnicos también puedan llevar a cabo sus ataques. Cualquier persona que tenga acceso a los mismos tiene la posibilidad de comprarlos y usarlos para sus objetivos.
Los investigadores han hallado unos 1.200 kits de herramientas distintos a la venta que permitirían suplantar y robar datos de inicio de sesión de doble factor de varios servicios de Internet principales. Los impulsores del estudio advierten de que estos programas están aumentando su sofisticación y son cada vez más usados.
Interponiéndose entre los usuarios y los servicios
¿Cómo funcionarían? Estos kits de herramientas operan de manera muy simple. Se hacen con las cookies de autenticación de doble factor, esos archivos que se almacenan en tu navegador web al autenticarte.
Para sustraer las cookies los amigos de lo ajeno digitales tienen dos técnicas. La primera de ellas es mediante un ataque Man-in-the-Middle, con el que se redirige el tráfico a un sitio de phising y al introducir las credenciales se hace aquí en lugar de en el sitio auténtico. Así los atacantes se interponen entre el usuario y el destino y se hacen con su información personal. Otra técnica es simplemente infectar el ordenador de la víctima con malware para robar sus datos.
"Estos conjuntos de herramientas han revolucionado la forma en que se crean los sitios web de phishing al obtener automáticamente copias estáticas de páginas de sitios web específicos, teniendo acceso a las víctimas y previniendo la detección a través de mecanismos de encubrimiento, todo mientras se requiere mínimo esfuerzo de los atacantes", explican los autores del estudio.
"Sin embargo, la creciente adopción de los mecanismos de autenticación de dos factores (2FA) por servicios online y la rápida evolución del contenido web ha aumentado la necesidad de que los kits de herramientas de phishing adopten mecanismos en tiempo real en lugar de contenido estático anticuado. Estas limitaciones han alimentado la proliferación de una nueva generación de kits de herramientas de phishing Man-in-the-Middle", añaden.