Los principales trucos de los cibercriminales para explotar los sistemas de verificación en dos pasos

Las contraseñas protegen el acceso a nuestras cuentas en la red; sin embargo, por muy seguras y robustas que resulten, siempre existe el riesgo de que acaben filtradas. Por eso, todos los expertos en ciberseguridad recomiendan utilizar los sistemas de autenticación en dos pasos siempre que sea posible . El problema llega cuando los cibercriminales encuentran medios para sortear la barrera. No es tarea fácil, pero algunos lo están consiguiendo interceptando los códigos de un solo uso que se envían en forma de SMS al 'smartphone' del usuario.

Como explican en un comunicado de la empresa de ciberseguridad Panda Security, se ha demostrado que mediante estafas de SIM Swapping (intercambio de SIM) es posible eludir la autenticación en dos pasos; este método implica que un atacante convenza al proveedor de servicios móviles de que él es la víctima y luego solicite que el número de teléfono del propietario se cambie a un dispositivo de su elección.

Pero no es el único método. Los códigos de un solo uso basados en SMS pueden ser comprometidos a través de herramientas de proxy inverso , como Modlishka. Un proxy inverso es un tipo de servidor que recupera recursos en nombre de un cliente desde uno o más servidores distintos. Estos recursos se devuelven después al cliente como si se originaran en ese servidor web. Pero algunos cibercriminales lo están modificando para reconducir el tráfico a páginas de inicio de sesión y a operaciones de 'phishing'; en esos casos, el delincuente intercepta la comunicación entre un servicio auténtico y una víctima, y rastrea (y registra) las interacciones de las víctimas con el servicio, incluidas las credenciales de inicio de sesión.

Además de estas vulnerabilidades, expertos en seguridad han encontrado otros tipos de ataques contra los sistemas de basados en SMS. Uno en particular aprovecha una función proporcionada en Google Play Store para instalar automáticamente aplicaciones desde la web en dispositivos Android. El atacante obtiene acceso a las credenciales para iniciar sesión en tu cuenta de Google Play en un portátil (aunque en teoría tienes que recibir un aviso a tu smartphone), para después operar en tu teléfono cualquier aplicación que desee.

Una variante similar de este sistema implica el uso de una aplicación especializada diseñada para sincronizar las notificaciones del usuario en diferentes dispositivos. Los atacantes pueden aprovechar una combinación comprometida de correo electrónico y contraseña asociadas a una cuenta de Google para instalar una aplicación de duplicación de mensajes accesible a través de Google Play. Y, una vez instalada la aplicación, el atacante puede utilizar técnicas de ingeniería social para convencer al usuario de que habilite los permisos necesarios para que la app funcione correctamente.

Aunque deben cumplirse varias condiciones para que los ataques mencionados funcionen, estos demuestran vulnerabilidades en los métodos de identificación de dos pasos basados en SMS, así como que estos ataques no requieren capacidades técnicas de alto nivel, como ha advertido Panda