Autenticación de dos factores y posibles formas de evitarla

Autenticación de dos factores y posibles formas de evitarla

Examinamos detalladamente las ventajas y desventajas del método de protección de cuentas en línea más popular.

image

Los métodos avanzados para asegurar cuentas incluyen la autenticación de dos factores (2FA). Se utiliza ampliamente tanto para cuentas corporativas como personales en todo el mundo. En su forma clásica, este método de autenticación implica el envío de un código especial al teléfono o correo electrónico, que debe ingresarse después de la contraseña de la cuenta. Sin embargo, existen otras formas de 2FA que discutiremos en este artículo.

La autenticación de dos factores proporciona una capa adicional de protección contra los ciberdelincuentes, pero si se esfuerzan lo suficiente, los atacantes aún pueden encontrar formas de evadirla. Comprender cómo los hackers suelen evadir la 2FA permite evitar sus posibles trampas y proteger mejor la cuenta.

¿Qué es la autenticación de dos factores?

La 2FA es un segundo nivel de autenticación que se utiliza además de la combinación clásica de nombre de usuario y contraseña al iniciar sesión en una cuenta. La autenticación de dos factores puede configurarse de diversas maneras según las necesidades específicas del sistema o las preferencias del usuario.

A veces, una cuenta necesita el más alto nivel de protección. Entonces, se recurre a la llamada "autenticación multifactor" (MFA), que incluye varios factores de verificación. Por ejemplo, contraseña + token físico + biometría. Este método de protección de la cuenta es mucho más seguro que la autenticación de dos factores clásica.

¿Qué tipos de autenticación de dos factores existen?

Algunos servicios y aplicaciones permiten elegir el tipo de verificación adicional a la contraseña, mientras que otros no. Veamos todas las opciones posibles de 2FA.

2FA por SMS

Este método de autenticación requiere que el usuario proporcione su número de teléfono al configurar el perfil. Luego, cada vez que inicie sesión en el sistema (o la primera vez en un nuevo dispositivo), deberá ingresar un código de verificación de un solo uso (One-Time Password, OTP) que generalmente consta de seis dígitos. Este código se envía como mensaje de texto al teléfono.

Como la mayoría de las personas tienen teléfonos móviles con soporte para SMS y no se necesitan aplicaciones adicionales, este método es probablemente el más popular actualmente.

Los problemas con 2FA por SMS surgen solo si se pierde la señal de red o si hay problemas con el teléfono.

2FA mediante llamada de voz

Este método de autenticación implica una llamada al teléfono del usuario. Al iniciar sesión en una aplicación móvil, generalmente la llamada es suficiente para la autorización y la aplicación confirma automáticamente el acceso. Pero en algunos servicios, 2FA mediante llamada telefónica requiere contestar la llamada, escuchar un código de seis dígitos anunciado por un robot y luego ingresarlo en el formulario.

2FA por correo electrónico

2FA por correo electrónico funciona igual que 2FA por SMS, pero el código de verificación de un solo uso llega en forma de correo electrónico. Una variante de la autenticación por correo electrónico es no ingresar el código, sino seguir un enlace único que proporciona acceso a la cuenta.

2FA por correo electrónico requiere conexión a Internet para recibir el correo, aunque en la actualidad esto no suele ser un problema. Sin embargo, un inconveniente de este método es que estos correos pueden ser marcados como spam, lo que puede retrasar el proceso de autenticación.

Además, los delincuentes pueden fácilmente hackear una cuenta con autenticación por correo electrónico si ya tienen acceso a ese correo. En cambio, la autenticación por SMS obliga al delincuente a estar físicamente cerca de la víctima, robar su teléfono para ver el código o recurrir a un ataque más complejo como SIM-jacking.

2FA mediante aplicaciones de autenticación TOTP

El algoritmo de contraseñas de un solo uso basadas en tiempo (Time-based One-time Password Algorithm, TOTP) es una forma de verificación que requiere que el usuario instale una aplicación especial en su smartphone, como Microsoft Authenticator, Google Authenticator, Yandex Key, etc.

Cuando el usuario accede a un servicio en línea desde un dispositivo nuevo o desconocido, se le pide que abra la aplicación de autenticación en su teléfono móvil. La aplicación genera un código de un solo uso temporal, de seis a ocho dígitos, que se actualiza cada 30 segundos. Después de ingresar este código en el formulario correspondiente, el usuario obtiene acceso a la cuenta.

Una ventaja de las aplicaciones de autenticación es que son fáciles de implementar y usar. El usuario obtiene el código de verificación de inmediato y no necesita esperar un correo o SMS. Este método también es más seguro que 2FA por SMS, ya que el código no se puede ver en la pantalla de bloqueo o en un brazalete de fitness conectado por Bluetooth. El smartphone debe estar al menos desbloqueado y puede que se necesite una contraseña adicional para acceder a la aplicación TOTP.

Si el usuario no ha configurado un PIN único para todas las ocasiones, será muy difícil para los delincuentes hackear la cuenta utilizando una autenticación TOTP.

2FA mediante clave de hardware

Este método utiliza dispositivos físicos para la autorización. Puede ser, por ejemplo, una unidad USB insertada en la computadora, una tarjeta NFC o un llavero TOTP que genera un código de autorización cada 30/60 segundos.

Las claves de hardware no requieren conexión a Internet. Es uno de los métodos más simples y seguros de 2FA. Sin embargo, emitir y mantener estos dispositivos para cada usuario puede ser costoso para las empresas. Y si es crucial que el usuario lleve consigo la clave, existe el riesgo de perderla.

6 formas de evadir la autenticación de dos factores

A pesar de las ventajas de la autenticación de dos factores, cada uno de los métodos descritos tiene sus vulnerabilidades. A continuación, describimos cómo los hackers pueden evadir la autenticación de dos factores.

  1. Evasión de 2FA mediante ingeniería social. La ingeniería social es un ataque no técnico mediante el cual el delincuente engaña a la víctima para que proporcione sin saberlo información importante sobre el código secreto. Si el delincuente ya tiene el nombre de usuario y la contraseña, puede llamar o enviar un mensaje a la víctima con una historia convincente, pidiendo el código 2FA.
  2. En otros casos, el delincuente ya tiene suficiente información básica sobre la víctima para llamar al servicio de soporte en nombre de ella. El delincuente puede hacerse pasar por el usuario y decir que su cuenta está bloqueada o que hay problemas con la aplicación de autenticación. Si tiene éxito, al menos obtendrá acceso temporal a la cuenta de la víctima y, con suerte, podrá restablecer y cambiar la contraseña del usuario.

  3. Evasión de 2FA mediante autorización abierta (OAuth). OAuth es un protocolo abierto de autorización que proporciona a aplicaciones y servicios acceso limitado a los datos del usuario sin revelar la contraseña. Por ejemplo, para iniciar sesión en una aplicación, se necesita dar permiso para acceder parcialmente a la cuenta de VK o Facebook. De este modo, la aplicación seleccionada obtiene parte de los permisos de la cuenta, pero no almacena los datos de la contraseña del usuario.
  4. En el llamado "phishing de consentimiento", el delincuente se hace pasar por una aplicación legítima con autorización OAuth y envía un mensaje a la víctima solicitando acceso. Si la víctima da este acceso, el delincuente podrá hacer lo que quiera dentro del alcance del acceso solicitado. El phishing de consentimiento permite al delincuente ignorar las credenciales y evadir cualquier autenticación de dos factores configurada.

  5. Evasión de 2FA mediante fuerza bruta. A veces, los delincuentes eligen el método de "fuerza bruta", especialmente si se utiliza equipo obsoleto o mal protegido. Por ejemplo, algunos llaveros TOTP antiguos tienen códigos de solo cuatro dígitos, por lo que son mucho más fáciles de hackear.
  6. El obstáculo para los hackers es que los códigos de un solo uso generados por estos llaveros son válidos solo por un corto período (30/60 segundos). Por lo tanto, los delincuentes tienen una cantidad limitada de códigos para probar antes de que cambien. Y si la autenticación de dos factores está configurada correctamente, será imposible realizar este tipo de ataque, ya que el usuario será bloqueado después de varios códigos OTP incorrectos.

  7. Evasión de 2FA mediante tokens generados previamente. Algunas plataformas permiten a los usuarios generar códigos 2FA con anticipación. Por ejemplo, en la configuración de seguridad de una cuenta de Google, se puede descargar un documento con un número determinado de códigos de reserva para usar en el futuro para evadir la 2FA. Esto es útil en caso de pérdida del dispositivo utilizado para la autenticación. Sin embargo, si este documento o al menos uno de los códigos de reserva cae en manos de un delincuente, podrá acceder a la cuenta sin importar la autenticación de dos factores configurada.
  8. Evasión de 2FA mediante cookies de session. El robo de cookies, también conocido como secuestro de sesión, permite a los delincuentes acceder a la cuenta sin conocer ninguna contraseña ni códigos 2FA.
  9. Cuando los usuarios inician sesión en un sitio, no necesitan ingresar la contraseña cada vez porque el navegador almacena una cookie de sesión especial. Esta contiene información del usuario, mantiene su autenticación en el sistema y rastrea la actividad de la sesión. Las cookies de sesión permanecen en el navegador hasta que el usuario cierre sesión manualmente. Por lo tanto, los delincuentes pueden utilizar las cookies en su beneficio para acceder a la cuenta del usuario.

    Los ciberdelincuentes conocen muchos métodos para capturar cuentas, como interceptar y fijar sesiones, scripting entre sitios y el uso de software malicioso. Además, los delincuentes suelen utilizar el marco Evilginx para ataques de "hombre en el medio". Con Evilginx, el hacker envía a la víctima un enlace de phishing que la redirige a la página de inicio de sesión del sitio legítimo a través de un proxy malicioso. Cuando el usuario inicia sesión en su cuenta con 2FA, Evilginx captura sus credenciales de inicio de sesión y el código de autenticación.

    Dado que los códigos de un solo uso tienen una validez limitada y no se pueden usar dos veces, a los hackers les resulta mucho más fácil utilizar el método de secuestro de cookies para iniciar sesión y evadir la autenticación de dos factores.

  10. Evasión de 2FA mediante SIM-jacking. El ataque de SIM-jacking implica que el delincuente obtenga control total sobre el número de teléfono de la víctima. Los delincuentes, por ejemplo, pueden obtener previamente algunos datos básicos del usuario y luego "hacerse pasar" por ese usuario en la tienda del operador móvil para emitir una nueva tarjeta SIM. El SIM-jacking también es posible a través de aplicaciones maliciosas instaladas en el smartphone de la víctima.

El control del número de teléfono del usuario significa que el hacker puede interceptar los códigos de un solo uso enviados por 2FA por SMS. Y dado que este es el método de autenticación de dos factores más popular, el delincuente puede hackear una por una todas las cuentas clave de la víctima y obtener acceso total a los datos necesarios.

¿Cómo hacer que la 2FA sea aún más segura?

A pesar de las vulnerabilidades descubiertas por los hackers, la autenticación de dos factores sigue siendo una forma recomendada de proteger las cuentas en línea. Aquí hay algunos consejos para usar eficazmente la 2FA:

  • Utiliza aplicaciones de autenticación en lugar de la autenticación por SMS siempre que sea posible, ya que las aplicaciones son más seguras y el código de un solo uso no se puede ver sin acceso completo al smartphone.
  • Nunca compartas los códigos de seguridad de un solo uso o de reserva con nadie.
  • Usa códigos de seguridad largos con más de seis caracteres (si el servicio lo permite).
  • No utilices contraseñas simples para proteger la cuenta, es mejor generar una contraseña en un generador y usarla junto con un administrador de contraseñas.
  • No utilices la misma contraseña en cuentas críticas.
  • Usa claves de seguridad físicas como una forma alternativa de autenticación.
  • Familiarízate con las tácticas populares de ingeniería social para no caer víctima del engaño.
  • Si se trata de una empresa con un número de empleados, no está de más contratar a un consultor de seguridad privado.

Conclusión

A pesar de las desventajas y métodos de evasión descritos, la autenticación de dos factores sigue siendo uno de los mejores métodos para proteger las cuentas. Basta con seguir las recomendaciones anteriores para no dar a los delincuentes ni la más mínima oportunidad de comprometer la cuenta. Esperamos que tus cuentas nunca caigan en manos de estafadores y que cualquier dato confidencial permanezca completamente seguro.

No esperes a que los hackers te ataquen: ¡suscríbete a nuestro canal y conviértete en una fortaleza impenetrable!

Suscribirse