Una de las medidas de seguridad más recientes y eficaces para proteger nuestras cuentas online de accesos no autorizados es la doble autenticación. Esta medida de seguridad se basa en proteger nuestras cuentas con algo que sabemos (nuestra contraseña) y, a la vez, con algo que no sabemos, pero sí tenemos: un código aleatorio. De esta manera, si alguien se hace con nuestra contraseña, no podrá conseguir entrar sin el correspondiente código, el cual recibimos en nuestro smartphone en el momento de iniciar sesión.
Siempre se ha dicho que una de las mayores vulnerabilidades de los sistemas informáticos es el propio factor humano, y una vez más es así. Un grupo de piratas informáticos han empezado a llevar a cabo una campaña de ingeniería social, probablemente la más perfecta vista hasta ahora, de manera que han logrado incluso evadir la doble autenticación con la que Google protege sus cuentas.
Esta nueva técnica de ataque se basa en enviar un SMS previo al usuario donde se le indica que se ha detectado actividad sospechosa en su cuenta y se le pide que conteste al SMS con el código de 6 dígitos que le llegará en unos segundos (el código de la 2FA) de manera que su cuenta no sea bloqueada.
Cuando el usuario cae en la trampa y envía el mensaje, los piratas informáticos se hacen con el código de la doble autenticación, el cual les brinda acceso completo a la cuenta de la víctima.
La doble autenticación es segura, pero la ingeniería social expone su seguridad
Por el momento, ningún pirata informático ni experto de seguridad ha conseguido romper esta medida de seguridad, sin embargo, estos nuevos ataques de ingeniería social son los más complejos vistos hasta ahora. Además, para poder llevar a cabo este ataque informático los atacantes deben conocer tanto la cuenta de Google como el número de teléfono de la víctima, aunque esto no es algo demasiado complicado debido a las redes sociales, incluso al gran número de datos filtrados que circula por la Deep Web.
Por suerte, Alex MacCaw, cofundador de Clearbit y quien ha descubierto y hecho público este nuevo vector de ataque informático, es capaz de reconocer sin problemas estos ataques de ingeniería social, sin embargo, no todos los usuarios son capaces de hacerlo y, gracias a que el SMS está bastante trabajado (incluso está dirigido personalmente a la víctima) es probable que muchas víctimas no sean capaces de ver la estafa, piensen que la estafa es real y manden a los piratas informáticos el código de la 2FA que les brinde acceso a la cuenta. Puedes ver cómo funciona la autenticación FIDO2.
¿Proteges tus cuentas con la doble autenticación? ¿Serías capaz de reconocer un ataque de ingeniería social similar?