TECNOLOGÍA
El mecanismo de protección es fácilmente vulnerable por cibercriminales; cómo protegerse
Este contenido es exclusivo para nuestros suscriptores.
La autenticación de doble factor (2FA) ha sido defendida como un método de seguridad fiable. Pero en un terreno que se parece a una “escalada armamentista” –como lo ilustró Hugo Köncke, gerente regional de consultoría de Security Advisor–, lo que ayer se creía infalible, hoy no lo es más. Sonados ataques han demostrado que la 2FA es fácilmente vulnerable. Un clásico en el menú es el intercambio de SIM.
A diferencia de una contraseña común, la 2FA es una secuencia numérica producida por distintos procedimientos que pasa a estar en poder del usuario mediante diferentes vías. Y aquí aparece el problema. Si el código numérico se recibe mediante un mensaje de texto, “el riesgo no es menor”, a juicio de Köncke. Esto hoy es una práctica común para el ingreso a muchas aplicaciones.
Un poco más seguro es si el segundo factor surge del uso de un dispositivo físico o virtual. Pero también se registran problemas. Recientemente, investigadores revelaron que Google Authenticator, una de las herramientas más recomendadas para estos fines, es vulnerable a un código malicioso capaz de robar los códigos de acceso. José Luis López, director de Videosoft ESET, señaló que este malware puede robar la información y enviarla a un servidor controlado por los ciberdelincuentes sin que las víctimas se percaten de sus movimientos.
Apps que fabrican las contraseñas.
En las tiendas oficiales hay disponibles varias aplicaciones de autenticación. Los códigos se crean sobre la base de una clave (que solo conoce el usuario y el servidor) y la hora actual, redondeada en 30 segundos. Este algoritmo se conoce por sus siglas en inglés, OATH TOTP (contraseña de un solo uso basada en el tiempo). Pero también existe el OATH HOPT que, en lugar de la hora actual, utiliza un contador que aumenta en uno por cada código recién creado. El último menos es menos usado que el anterior.
Algunas de las aplicaciones recomendadas son Duo Mobile, Microsoft Authenticator, FreeOTP y Authy, todas disponibles para Android e iOS.
El engaño.
“Independientemente de cómo se genera el segundo factor, los atacantes han perfeccionado técnicas combinadas que les permiten burlar esta seguridad”, apuntó Köncke. Aquí entra en juego la ingeniería social.
La clave está en el engaño. Lo primero que sucede es que los atacantes crean un sitio web que es un duplicado del original al que pretenden acceder haciéndose pasar por la víctima. Luego tienen que conseguir que esta caiga “en alguna trampa” que la lleve a la página fraudulenta. Esto, en general, se hace mediante correos electrónicos que incluyen enlaces. A partir del momento en que la víctima ingresa sus datos en el sitio falso, los atacantes rápidamente los utilizan en el sitio real.
“Aunque haya un doble factor de por medio, este es válido por varios segundos, lo que suele dar tiempo a que sea capturado en un sitio y reutilizado en otro”, explicó Köncke. Y añadió: “Esta maniobra, hecha, por ejemplo, sobre un sitio de banca online, permitiría a los atacantes acceder a la información de las cuentas de la víctima (…) y robar dinero, transfiriéndolo a cuentas bajo su control”.
Otra situación en la que la 2FA resulta burlada es cuando el equipo de la víctima está comprometido de manera tal que el atacante tiene acceso a todo lo que esta hace en él. Esto sucede a partir de la instalación de alguna forma de malware. “Aquí no importa cuántos factores se utilicen para fortalecer la autenticación. El atacante estará actuando desde el propio equipo de la víctima y al mismo tiempo que ella”, señaló el experto.
Cibercriminales hábiles.
Un ataque de intercambio de SIM (o SIM-swapping) puede tirar abajo la seguridad que supone la autenticación de dos factores. Este ataque se hizo popular en la comunidad de hackershace años y, según reportes internacionales, ha crecido durante 2019. Al principio, los ciberdelincuentes estaban interesados en tomar el control de determinados nombres de cuentas de redes sociales; luego comenzaron a atacar a los titulares de criptomonedas.
¿Cómo funciona?: un hacker se hace pasar por el usuario ante la operadora para solicitar un nuevo chip o tarjeta SIM, aduciendo cualquier razón; por ejemplo, la pérdida del dispositivo o daño irreparable. De esta forma, el número del abonado deja de funcionar en la SIM anterior y pasa a hacerlo en la que tiene el atacante. Este podrá tener acceso a toda la información, incluidos los códigos de autenticación enviados por SMS. El código, en teoría confidencial, nunca le llega al usuario.
No se puede estimar cuántos usuarios de teléfonos móviles han sido afectados por un intercambio de SIM. En el último año hubo algunos casos destacados como el CEO de Twitter, Jack Dorsey; o la actriz Jessica Alba. Los hackers usaron sus cuentas para publicar mensajes ofensivos y obtuvieron acceso a charlas privadas.
Las compañías telefónicas han sido conscientes del problema durante años, pero la única solución de rutina que han encontrado es ofrecer códigos PIN que el propietario del teléfono debe proporcionar para cambiar de dispositivo. Pero, según señala un informe del New York Times, incluso esta medida ha resultado ineficaz. Los ciberdelincuentes pueden obtener los códigos PIN sobornando a los empleados de las empresas.
“Si bien la tendencia es a que se deje de utilizar esta forma de implementar 2FA, todavía persiste su uso en muchos casos, y lo que es peor, en muchas instituciones bancarias que basan en ella la autenticación de sus clientes. Ni más ni menos, esto es lo que le sucedió a Jack Dorsey”, apuntó el gerente de Security Advisor.
Y añadió: “Queda claro que el rol de la operadora telefónica es fundamental. Si no sucediera que no piden una identificación válida, el SIM-swapping no existiría”.
Biometría: otro doble factor polémico.
Se considera que la biometría –como una huella dactilar– es el doble factor más seguro porque no puede ser interceptado, pero los ciberdelincuentes pueden vulnerarla usando una variedad de métodos, incluido uno que recrea digitalmente el otro de una persona sobre otra.
Criptógrafos en la conferencia GeekPwn 2019 en Shanghai demostraron cómo crear y utilizar una fotografía de la huella digital de un usuario para desbloquear un smartphone en menos de 20 minutos.
A medida que crece el uso de la autenticación biométrica, también aumenta la preocupación sobre cómo las corporaciones y/o los gobiernos pueden usar esos datos. China ya utiliza datos biométricos para controlar a las personas a través de cámaras de seguridad pública y muchos temen que su información biométrica pueda ser comprada y vendida en secreto por compañías tecnológicas.
Medidas de protección.
Entonces, ¿cuál es la solución que brinda más seguridad al usuario? Para Köncke, cada día es más difícil responder “de manera responsable” esa pregunta. “No hay balas de plata”, dijo. No obstante, una buena opción es una “estrategia combinada” de “estar alerta y ser proactivos”: no caer en engaños, no seguir links sospechosos, acceder a páginas desde el navegador, verificar la autenticidad de los correos recibidos y disponer de defensas “avanzadas” en los sistemas. “Ya los tradicionales programas conocidos vulgarmente como ‘antivirus’ no dan los resultados que se necesitan. Las técnicas de ataque usadas por los delincuentes requieren de defensas avanzadas que solo están disponibles en herramientas de última generación”, comentó.
José Luis López, director de Videosoft ESET, afirmó: “Paradójicamente, desconfiar antes de hacer clic sigue siendo nuestro principal aliado en un mundo cada vez más tecnificado”.