Siempre hemos dicho que una de las mejores opciones que tenemos para protegernos de ataques en la red que puedan robar nuestras contraseñas es activar la autenticación en dos pasos. Por ejemplo podríamos mejorar la seguridad en caso de ataques Phishing. Básicamente significa que si un atacante logra robar nuestra clave, necesitaría un segundo paso para entrar en la cuenta. Hoy nos hacemos eco de un informe de seguridad informática que muestra cómo la autenticación en dos pasos puede no servir frente al Phishing.
La autenticación en dos pasos como defensa frente al Phishing
Los ataques Phishing están muy presentes hoy en día. Como sabemos es el método que utilizan los piratas informáticos para robar contraseñas de los usuarios. Pueden llegar mediante correos electrónicos, SMS o incluso redes sociales. Lo que hacen básicamente es suplantar la identidad de una organización legítima con el fin de que la víctima confíe.
Puede que nos pidan rellenar un formulario, iniciar sesión o enviar cualquier tipo de datos. Lógicamente eso va a parar a un servidor controlado por los ciberdelincuentes. Buscan así la manera de robar nuestros datos y contraseñas.
La autenticación en dos pasos siempre ha sido considerada como un método interesante para evitar esto. Es decir, en caso de que un usuario caiga en la trampa y un posible intruso robe la contraseña, aún haría falta ese segundo paso para acceder. Puede ser por ejemplo un código por SMS.
Ahora bien, según el FBI y un informe presentado por un grupo de expertos en seguridad informática, la autenticación en dos pasos puede no proteger ya frente al Phishing. Al menos así puede ocurrir en determinadas ocasiones.
La autenticación en dos pasos ya no es eficiente
Vivimos en una constante lucha entre los que intentan atacar y quienes se defienden. Si los antivirus mejoran sus técnicas de detección, por ejemplo, los piratas informáticos buscarán la manera de ocultarse mejor. Lo mismo con cualquier tipo de ataque que nos imaginemos en la red.
Algo así es lo que ocurre con la autenticación en dos pasos. Ahora los piratas informáticos parece que han encontrado la manera de saltarse la seguridad a través de una serie de técnicas.
Según informan desde el FBI, los atacantes ahora están utilizando una combinación de técnicas que incluyen ingeniería social y ataques de intermediarios para lograr saltarse la autenticación en dos pasos. De esta forma un ataque Phishing podría tener éxito incluso aunque la víctima lo tuviera activado en su cuenta.
Indican del peligro que puede haber mediante las tarjetas SIM y los SMS. Sin embargo esto es algo que lleva presente desde hace tiempo y es un problema que podría ocurrir. Pero ahora agregan dos técnicas que combinadas pueden ser un problema aún mayor. Estas dos técnicas han sido nombradas como Mureana y NecroBrowser. La primera automatiza los ataques Phishing; la segunda ayuda a secuestrar una sesión de autenticación legítima.
Si unimos las dos técnicas podríamos tener herramientas para convertir el navegador de la víctima en una especie de zombi capaz de robar credenciales sin dar ningún tipo de aviso al usuario. Básicamente podemos decir que se salta la autenticación en dos pasos.
En definitiva, incluso aunque tengamos activada la autenticación en dos pasos podríamos ser víctimas de un ataque Phishing. Es más importante que nunca el sentido común, iniciar sesión siempre desde sitios oficiales, no descargar programas que no sean confiables, etc. Ya hablamos anteriormente del éxito del Phishing y cómo evitarlo. Os recomendamos leer nuestro tutorial sobre autenticación vs autorización, ya que son cosas completamente distintas que se suelen confundir.