¿Todavía puedo ser pirateado con 2FA habilitado?
|

¿Todavía puedo ser pirateado con 2FA habilitado?

Crédito: Shutterstock

La ciberseguridad es como un juego de whack-a-mole. Tan pronto como los buenos ponen fin a un tipo de ataque, aparece otro.

Los nombres de usuario y las contraseñas alguna vez fueron lo suficientemente buenos para mantener una cuenta segura. Pero en poco tiempo, los ciberdelincuentes descubrieron cómo evitar esto.

A menudo utilizarán “ataques de fuerza bruta”, bombardeando la cuenta de un usuario con varias combinaciones de contraseña e inicio de sesión en un intento por adivinar la correcta.

Para hacer frente a tales ataques, se agregó una segunda capa de seguridad en un enfoque conocido como autenticación de dos factores o 2FA. Ahora está muy extendido, pero ¿la 2FA también deja espacio para las lagunas que los ciberdelincuentes pueden aprovechar?

2FA por mensaje de texto

Hay varios tipos de 2FA. El método más común es recibir un código de un solo uso como un mensaje SMS a su teléfono, que luego ingresa siguiendo una indicación del sitio web o servicio al que está tratando de acceder.

La mayoría de nosotros estamos familiarizados con este método, ya que es el favorito de las principales plataformas de redes sociales. Sin embargo, si bien puede parecer lo suficientemente seguro, no lo es necesariamente.

Se sabe que los piratas informáticos engañan a los operadores de telefonía móvil (como Telstra u Optus) para que transfieran el número de teléfono de la víctima a su propio teléfono.

Fingiendo ser la víctima prevista, el pirata informático contacta al operador con una historia sobre la pérdida de su teléfono, solicitando que se les envíe una nueva SIM con el número de la víctima. Cualquier código de autenticación enviado a ese número va directamente al pirata informático, otorgándole acceso a las cuentas de la víctima.

Este método se llama intercambio de SIM. Probablemente sea el más fácil de varios tipos de estafas que pueden eludir la 2FA.

Y mientras los procesos de verificación de los operadores para las solicitudes de SIM están mejorando, un embaucador competente puede sortearlos.

Aplicaciones de autenticación

El método del autenticador es más seguro que 2FA a través de mensajes de texto. Funciona según un principio conocido como TOTP, o “contraseña de un solo uso basada en el tiempo”.

TOTP es más seguro que los SMS porque se genera un código en su dispositivo en lugar de enviarse a través de la red, donde podría ser interceptado.

El método del autenticador utiliza aplicaciones como Google Authenticator, LastPass, 1Password, Microsoft Authenticator, Authy y Yubico.

Sin embargo, aunque es más seguro que 2FA a través de SMS, ha habido informes de piratas informáticos que roban códigos de autenticación de teléfonos inteligentes Android. Lo hacen engañando al usuario para que instale malware (software diseñado para causar daño) que copia y envía los códigos al pirata informático.

El sistema operativo Android es más fácil de piratear que el iPhone iOS. El iOS de Apple es propietario, mientras que Android es de código abierto, lo que facilita la instalación de malware.

2FA usando detalles únicos para usted

Los métodos biométricos son otra forma de 2FA. Estos incluyen inicio de sesión con huellas dactilares, reconocimiento facial, escaneos de retina o iris y reconocimiento de voz. La identificación biométrica se está volviendo popular por su facilidad de uso.

La mayoría de los teléfonos inteligentes de hoy se pueden desbloquear colocando un dedo en el escáner o dejando que la cámara escanee su rostro, más rápido que ingresando una contraseña o un código de acceso.

Sin embargo, los datos biométricos también se pueden piratear, ya sea desde los servidores donde se almacenan o desde el software que procesa los datos.

Un ejemplo de ello es la filtración de datos de Biostar 2 del año pasado en la que se piratearon casi 28 millones de registros biométricos. BioStar 2 es un sistema de seguridad que utiliza tecnología de reconocimiento facial y huellas dactilares para ayudar a las organizaciones a proteger el acceso a los edificios.

También puede haber falsos negativos y falsos positivos en el reconocimiento biométrico. La suciedad en el lector de huellas dactilares o en el dedo de la persona puede generar falsos negativos. Además, las caras a veces pueden ser lo suficientemente similares como para engañar a los sistemas de reconocimiento facial.

Otro tipo de 2FA viene en forma de preguntas de seguridad personal como “¿en qué ciudad se conocieron tus padres?” o “¿cómo se llamaba su primera mascota?”

Solo el hacker más decidido e ingenioso podrá encontrar respuestas a estas preguntas. Es poco probable, pero aún posible, especialmente porque cada vez más adoptamos perfiles públicos en línea.

2FA sigue siendo la mejor práctica

A pesar de todo lo anterior, la mayor vulnerabilidad a ser pirateado sigue siendo el factor humano. Los piratas informáticos exitosos tienen una asombrosa variedad de trucos psicológicos en su arsenal.

Un ataque cibernético podría venir como una solicitud cortés, una advertencia aterradora, un mensaje aparentemente de un amigo o colega, o un enlace intrigante “clickbait” en un correo electrónico.

La mejor manera de protegerse de los piratas informáticos es desarrollar una gran cantidad de escepticismo. Si revisa cuidadosamente los sitios web y los enlaces antes de hacer clic y también usa 2FA, las posibilidades de ser pirateado se vuelven extremadamente pequeñas.

La conclusión es que 2FA es eficaz para mantener sus cuentas seguras. Sin embargo, intente evitar el método SMS menos seguro cuando se le presente la opción.

Así como los ladrones en el mundo real se enfocan en casas con poca seguridad, los piratas informáticos en Internet buscan debilidades.

Y aunque cualquier medida de seguridad puede superarse con suficiente esfuerzo, un pirata informático no hará esa inversión a menos que pueda obtener algo de mayor valor.


Similar Posts

Leave a Reply