Pulse el 3 y le robarán: su supuestamente infalible autenticación de dos factores ya no frena a los hackers

Los ataques que emplean ingeniería social siguen evolucionando — ahora los atacantes usan llamadas de voz combinadas con kits de phishing dinámicos que permiten controlar en tiempo real las acciones de la víctima en el navegador. Esto lo informa equipo Okta Threat Intelligence, que analizó nuevas herramientas disponibles como servicio y que se usan activamente en ataques contra usuarios de Google, Microsoft, Okta y plataformas de criptomonedas.

La característica principal de estas soluciones es que se adaptan a los guiones de la conversación durante la llamada. Mientras uno de los involucrados en el ataque mantiene la conversación para convencer a la víctima de realizar las acciones deseadas, otro controla el contenido de la página abierta en el navegador del usuario. Todo esto permite sincronizar las instrucciones por voz con las páginas mostradas y refuerza la sensación de confianza, especialmente durante el proceso de autenticación multifactor.

Estos kits pueden interceptar credenciales y a la vez mostrar interfaces que imitan páginas oficiales. Esto ayuda a convencer al usuario de que se trata de un proceso legítimo —por ejemplo, un restablecimiento de contraseña o una verificación de actividad. Todo parece verosímil, ya que el sitio de phishing se adapta al instante a la etapa de autenticación en la que se encuentra el atacante que ha accedido en nombre de la víctima al sitio real.

El escenario de ataque es el siguiente: primero se recopila información sobre la víctima, incluidos las aplicaciones que usa y los contactos del soporte técnico. Luego se configura la página de phishing y se realiza la llamada —el número se falsifica como corporativo. Se persuade a la víctima para que abra el sitio indicado e introduzca su usuario y contraseña.

Estos datos se envían de inmediato a un canal privado, donde los utiliza el segundo participante del ataque. Según el tipo de autenticación multifactor (MFA) solicitada, la página de phishing se actualiza rápidamente, ofreciendo al usuario confirmar el acceso mediante una notificación push o introducir un código. Todo esto va acompañado de instrucciones por voz, lo que hace que el engaño sea especialmente convincente.

Como señalan los especialistas, incluso los métodos de autenticación multifactor que requieren elegir un número en la notificación push no ofrecen protección —el atacante simplemente pide a la víctima que seleccione el número correcto. Al mismo tiempo, métodos como Okta FastPass o las llaves FIDO están protegidos contra este tipo de ataques.

Se observa una tendencia hacia la creación de soluciones cada vez más especializadas: los nuevos paneles se diseñan no como universales, sino para servicios concretos. Además, se está popularizando la venta no solo de los kits, sino también de las habilidades para el engaño por voz —ahora también se comercializa el acceso a «operadores».

Para protegerse de este tipo de ataques, los expertos recomiendan implementar métodos de autenticación resistentes al phishing, especialmente en entornos corporativos. Si se utiliza Okta, es recomendable habilitar varios mecanismos de protección a la vez. También es útil restringir el acceso por zonas de red y crear listas de direcciones IP permitidas, excluyendo las conexiones a través de servicios de anonimato.

Algunas entidades financieras experimentan con una función de verificación de llamadas en las aplicaciones móviles —el usuario puede comprobar si realmente le está hablando un representante de la empresa.

Según Okta, esta táctica se está desarrollando activamente y ya se emplea en ataques reales. Los analistas de la compañía publicaron previamente advertencias sobre el tema en abril de 2025 y enero de 2026. En ellas se incluyen detalles técnicos, indicadores de compromiso y recomendaciones de protección.