Examinamos detalladamente las ventajas y desventajas del método de protección de cuentas en línea más popular.
Los métodos avanzados para asegurar cuentas incluyen la autenticación de dos factores (2FA). Se utiliza ampliamente tanto para cuentas corporativas como personales en todo el mundo. En su forma clásica, este método de autenticación implica el envío de un código especial al teléfono o correo electrónico, que debe ingresarse después de la contraseña de la cuenta. Sin embargo, existen otras formas de 2FA que discutiremos en este artículo.
La autenticación de dos factores proporciona una capa adicional de protección contra los ciberdelincuentes, pero si se esfuerzan lo suficiente, los atacantes aún pueden encontrar formas de evadirla. Comprender cómo los hackers suelen evadir la 2FA permite evitar sus posibles trampas y proteger mejor la cuenta.
La 2FA es un segundo nivel de autenticación que se utiliza además de la combinación clásica de nombre de usuario y contraseña al iniciar sesión en una cuenta. La autenticación de dos factores puede configurarse de diversas maneras según las necesidades específicas del sistema o las preferencias del usuario.
A veces, una cuenta necesita el más alto nivel de protección. Entonces, se recurre a la llamada "autenticación multifactor" (MFA), que incluye varios factores de verificación. Por ejemplo, contraseña + token físico + biometría. Este método de protección de la cuenta es mucho más seguro que la autenticación de dos factores clásica.
Algunos servicios y aplicaciones permiten elegir el tipo de verificación adicional a la contraseña, mientras que otros no. Veamos todas las opciones posibles de 2FA.
2FA por SMS
Este método de autenticación requiere que el usuario proporcione su número de teléfono al configurar el perfil. Luego, cada vez que inicie sesión en el sistema (o la primera vez en un nuevo dispositivo), deberá ingresar un código de verificación de un solo uso (One-Time Password, OTP) que generalmente consta de seis dígitos. Este código se envía como mensaje de texto al teléfono.
Como la mayoría de las personas tienen teléfonos móviles con soporte para SMS y no se necesitan aplicaciones adicionales, este método es probablemente el más popular actualmente.
Los problemas con 2FA por SMS surgen solo si se pierde la señal de red o si hay problemas con el teléfono.
2FA mediante llamada de voz
Este método de autenticación implica una llamada al teléfono del usuario. Al iniciar sesión en una aplicación móvil, generalmente la llamada es suficiente para la autorización y la aplicación confirma automáticamente el acceso. Pero en algunos servicios, 2FA mediante llamada telefónica requiere contestar la llamada, escuchar un código de seis dígitos anunciado por un robot y luego ingresarlo en el formulario.
2FA por correo electrónico
2FA por correo electrónico funciona igual que 2FA por SMS, pero el código de verificación de un solo uso llega en forma de correo electrónico. Una variante de la autenticación por correo electrónico es no ingresar el código, sino seguir un enlace único que proporciona acceso a la cuenta.
2FA por correo electrónico requiere conexión a Internet para recibir el correo, aunque en la actualidad esto no suele ser un problema. Sin embargo, un inconveniente de este método es que estos correos pueden ser marcados como spam, lo que puede retrasar el proceso de autenticación.
Además, los delincuentes pueden fácilmente hackear una cuenta con autenticación por correo electrónico si ya tienen acceso a ese correo. En cambio, la autenticación por SMS obliga al delincuente a estar físicamente cerca de la víctima, robar su teléfono para ver el código o recurrir a un ataque más complejo como SIM-jacking.
2FA mediante aplicaciones de autenticación TOTP
El algoritmo de contraseñas de un solo uso basadas en tiempo (Time-based One-time Password Algorithm, TOTP) es una forma de verificación que requiere que el usuario instale una aplicación especial en su smartphone, como Microsoft Authenticator, Google Authenticator, Yandex Key, etc.
Cuando el usuario accede a un servicio en línea desde un dispositivo nuevo o desconocido, se le pide que abra la aplicación de autenticación en su teléfono móvil. La aplicación genera un código de un solo uso temporal, de seis a ocho dígitos, que se actualiza cada 30 segundos. Después de ingresar este código en el formulario correspondiente, el usuario obtiene acceso a la cuenta.
Una ventaja de las aplicaciones de autenticación es que son fáciles de implementar y usar. El usuario obtiene el código de verificación de inmediato y no necesita esperar un correo o SMS. Este método también es más seguro que 2FA por SMS, ya que el código no se puede ver en la pantalla de bloqueo o en un brazalete de fitness conectado por Bluetooth. El smartphone debe estar al menos desbloqueado y puede que se necesite una contraseña adicional para acceder a la aplicación TOTP.
Si el usuario no ha configurado un PIN único para todas las ocasiones, será muy difícil para los delincuentes hackear la cuenta utilizando una autenticación TOTP.
2FA mediante clave de hardware
Este método utiliza dispositivos físicos para la autorización. Puede ser, por ejemplo, una unidad USB insertada en la computadora, una tarjeta NFC o un llavero TOTP que genera un código de autorización cada 30/60 segundos.
Las claves de hardware no requieren conexión a Internet. Es uno de los métodos más simples y seguros de 2FA. Sin embargo, emitir y mantener estos dispositivos para cada usuario puede ser costoso para las empresas. Y si es crucial que el usuario lleve consigo la clave, existe el riesgo de perderla.
A pesar de las ventajas de la autenticación de dos factores, cada uno de los métodos descritos tiene sus vulnerabilidades. A continuación, describimos cómo los hackers pueden evadir la autenticación de dos factores.
En otros casos, el delincuente ya tiene suficiente información básica sobre la víctima para llamar al servicio de soporte en nombre de ella. El delincuente puede hacerse pasar por el usuario y decir que su cuenta está bloqueada o que hay problemas con la aplicación de autenticación. Si tiene éxito, al menos obtendrá acceso temporal a la cuenta de la víctima y, con suerte, podrá restablecer y cambiar la contraseña del usuario.
En el llamado "phishing de consentimiento", el delincuente se hace pasar por una aplicación legítima con autorización OAuth y envía un mensaje a la víctima solicitando acceso. Si la víctima da este acceso, el delincuente podrá hacer lo que quiera dentro del alcance del acceso solicitado. El phishing de consentimiento permite al delincuente ignorar las credenciales y evadir cualquier autenticación de dos factores configurada.
El obstáculo para los hackers es que los códigos de un solo uso generados por estos llaveros son válidos solo por un corto período (30/60 segundos). Por lo tanto, los delincuentes tienen una cantidad limitada de códigos para probar antes de que cambien. Y si la autenticación de dos factores está configurada correctamente, será imposible realizar este tipo de ataque, ya que el usuario será bloqueado después de varios códigos OTP incorrectos.
Cuando los usuarios inician sesión en un sitio, no necesitan ingresar la contraseña cada vez porque el navegador almacena una cookie de sesión especial. Esta contiene información del usuario, mantiene su autenticación en el sistema y rastrea la actividad de la sesión. Las cookies de sesión permanecen en el navegador hasta que el usuario cierre sesión manualmente. Por lo tanto, los delincuentes pueden utilizar las cookies en su beneficio para acceder a la cuenta del usuario.
Los ciberdelincuentes conocen muchos métodos para capturar cuentas, como interceptar y fijar sesiones, scripting entre sitios y el uso de software malicioso. Además, los delincuentes suelen utilizar el marco Evilginx para ataques de "hombre en el medio". Con Evilginx, el hacker envía a la víctima un enlace de phishing que la redirige a la página de inicio de sesión del sitio legítimo a través de un proxy malicioso. Cuando el usuario inicia sesión en su cuenta con 2FA, Evilginx captura sus credenciales de inicio de sesión y el código de autenticación.
Dado que los códigos de un solo uso tienen una validez limitada y no se pueden usar dos veces, a los hackers les resulta mucho más fácil utilizar el método de secuestro de cookies para iniciar sesión y evadir la autenticación de dos factores.
El control del número de teléfono del usuario significa que el hacker puede interceptar los códigos de un solo uso enviados por 2FA por SMS. Y dado que este es el método de autenticación de dos factores más popular, el delincuente puede hackear una por una todas las cuentas clave de la víctima y obtener acceso total a los datos necesarios.
A pesar de las vulnerabilidades descubiertas por los hackers, la autenticación de dos factores sigue siendo una forma recomendada de proteger las cuentas en línea. Aquí hay algunos consejos para usar eficazmente la 2FA:
A pesar de las desventajas y métodos de evasión descritos, la autenticación de dos factores sigue siendo uno de los mejores métodos para proteger las cuentas. Basta con seguir las recomendaciones anteriores para no dar a los delincuentes ni la más mínima oportunidad de comprometer la cuenta. Esperamos que tus cuentas nunca caigan en manos de estafadores y que cualquier dato confidencial permanezca completamente seguro.