Tus contraseñas ya no son tuyas: 2FA es inútil frente a los bots OTP

Hoy en día, la autenticación de dos factores (2FA) se ha convertido en un estándar de seguridad para la mayoría de los sitios web y servicios en línea. Algunos países incluso han promulgado leyes que obligan a ciertas organizaciones a proteger las cuentas de los usuarios mediante 2FA. Sin embargo, la popularidad de esta medida ha llevado al desarrollo de numerosos métodos para hackearla o eludirla, que evolucionan constantemente y se adaptan a las realidades modernas.

Según nuevos datos, los delincuentes cada vez utilizan más los llamados bots OTP para robar los códigos 2FA. Estos simples programas representan una seria amenaza tanto para los usuarios como para los servicios en línea.

Un bot OTP es un software diseñado para interceptar contraseñas de un solo uso mediante ingeniería social. La funcionalidad de los bots varía desde simples scripts para ciertas organizaciones hasta configuraciones altamente personalizables, con una amplia gama de scripts en diferentes idiomas y con distintas voces.

El esquema típico de fraude con un bot OTP incluye los siguientes pasos: el delincuente obtiene las credenciales de la víctima e intenta acceder a su cuenta, la víctima recibe una contraseña de un solo uso en su teléfono, el bot OTP llama a la víctima y, siguiendo un guion preestablecido, la convence de compartir el código. La víctima introduce el código de verificación sin interrumpir la llamada, y el delincuente obtiene este código a través de un panel de control especial o un bot de Telegram y lo utiliza para acceder a la cuenta.

Los desarrolladores de bots se esfuerzan por hacerlos lo más atractivos posible para los delincuentes. Por ejemplo, un bot OTP ofrece más de una docena de funciones, incluyendo soporte técnico 24/7, scripts en varios idiomas, la posibilidad de elegir una voz masculina o femenina, y la suplantación del número de quien llama.

Para mayor credibilidad, algunos bots OTP pueden mostrar en la pantalla del teléfono de la víctima el número oficial de la organización en nombre de la cual están llamando. Los bots también son capaces de detectar si la llamada se reenvía al buzón de voz y finalizar la llamada. Los desarrolladores de bots compiten por incluir el mayor número de funciones al precio más atractivo: la suscripción puede llegar a costar 420 dólares a la semana.

Además de los bots OTP, los delincuentes también utilizan kits de phishing multipropósito para interceptar contraseñas de un solo uso en tiempo real. Estos kits imitan sitios web de bancos, sistemas de pago, tiendas en línea, servicios en la nube, servicios de entrega, intercambios de criptomonedas y servicios de correo, solicitando a los datos víctimas personales, incluyendo inicios de sesión, contraseñas, códigos 2FA, números de tarjetas bancarias, códigos CVV e incluso fechas de nacimiento.

Durante un ataque de phishing en múltiples etapas, la víctima primero introduce sus credenciales en un sitio falso, y luego, cuando se requiere introducir una contraseña de un solo uso para la verificación adicional, aparece un formulario en el mismo sitio para ingresar el código. Después de obtener el OTP, los delincuentes pueden solicitar a la víctima más información confidencial bajo el pretexto de confirmar datos personales.

Algunos bots permiten enviar un SMS a la víctima con una advertencia sobre una llamada inminente de un empleado de alguna compañía. Este truco psicológico está diseñado para ganar la confianza de la persona: primero la promesa, luego su cumplimiento. Un mensaje alarmante también puede mantener a la víctima en tensión esperando la llamada.

Las estadísticas de Kaspersky Lab muestran que en mayo de 2024 sus herramientas evitaron 69,984 intentos de visitar sitios creados con kits de phishing dirigidos a bancos. También se descubrieron 1,262 páginas de phishing generadas por 10 kits multipropósito para interceptar OTP.

El pico de actividad de las páginas de phishing se produjo en la primera semana de mayo y coincidió con el auge de uno de los kits. Los expertos señalan que los delincuentes pueden obtener los datos iniciales de las víctimas, como inicios de sesión, contraseñas y números de teléfono, de filtraciones en internet, en el mercado negro o mediante sitios de phishing.

Para proteger sus cuentas de los delincuentes, los expertos recomiendan:

• No abrir enlaces sospechosos directamente; introducir manualmente las direcciones de los sitios web o usar marcadores.

• Verificar la corrección de la dirección del sitio antes de introducir credenciales y utilizar Whois para comprobar la fecha de registro.

• No pronunciar ni introducir contraseñas de un solo uso durante llamadas telefónicas.

• Utilizar soluciones antivirus confiables que bloqueen páginas de phishing.

Los representantes de la industria de la ciberseguridad instan a los usuarios a ser vigilantes y seguir las reglas básicas de higiene digital para no convertirse en víctimas de delincuentes que utilizan bots OTP y kits de phishing para robar datos personales y eludir la autenticación de dos factores.