Roban millones de números de teléfono del famoso Authy 2FA y van a estafar a los usuarios

Authy es una aplicación bastante popular para usar códigos de autenticación en dos pasos. Esto sirve para proteger los inicios de sesión en cuentas de todo tipo, como pueden ser redes sociales, páginas para realizar compras, etc. Hoy es noticia debido al robo de millones de números de teléfono de sus usuarios. Y esto, como te vamos a explicar, es un problema importante. Los ciberdelincuentes pueden usarlos para delinquir.
Lo que debería ser una aplicación para proteger la seguridad, para evitar intrusos en las cuentas, puede convertirse en un verdadero problema. No significa que hayan robado códigos de acceso, pero el hecho de tener los números de teléfono de millones de usuarios sí que puede dar a los piratas informáticos una ventaja importante.
Problemas para Authy
Concretamente, han sido 33 millones de números de teléfono los que se han filtrado. Un cibercriminal ha expuesto un archivo de texto CSV que contenía toda esta información de los usuarios de esta popular aplicación. Según parece, esto lo han logrado debido a un punto final API mal protegido. Lo único que han robado son los números de teléfono. Sin embargo, esto no significa que no puedan llegar incluso a hacerse con las contraseñas, aunque para ello deberían utilizar la ingeniería social, como vamos a explicarte. El hecho de ser millones de usuarios, hace que tengan muchas opciones de lograr éxito en determinadas personas.
Desde Authy ya han tomado medidas para corregir ese punto final API mal protegido. Ha lanzado también una actualización para su aplicación de móvil, tanto para iOS como para Android. Con esto último, pretenden aumentar la seguridad y tener esta medida de precaución para evitar hipotéticos ataques.
Por qué puede ser un problema
Pero, ¿por qué puede ser tan peligroso que hayan robado estos números de teléfono? Pueden usarlos para obtener más datos e incluso contraseñas. Por ejemplo, podrían enviar SMS maliciosos, con el objetivo de que los usuarios compartan códigos de autenticación en dos pasos, hagan clic en algún enlace que lleve a una web falsa o descarguen algún archivo que, en realidad, es malware.
También podrían utilizar otras bases de datos que se hayan podido filtrar para vincular esos números de teléfono y tener más información de esos usuarios. Podrían averiguar datos como el nombre completo, la dirección de correo electrónico, dirección física, etc. Con toda esa información añadida, tendrían más opciones de éxito en sus ataques. Como usuario, no puedes ver si tu número está o no en la lista que han robado. Lo que sí puedes hacer es prevenir ataques. Si recibes cualquier SMS sospechoso, nunca hagas clic en enlaces, ni des información, ni descargues archivos que puedan ser un fraude. Es posible que, en los próximos días, recibas un intento de ataque Phishing de este tipo.
Si a partir de ahora desconfías de Authy, y quieres cambiar a otro servicio, puedes usar alternativas como son Bitwarden Authenticator, Google Authenticator o Microsoft Authenticator. Lo que sí debes tener siempre presente es que es muy importante utilizar la autenticación en dos pasos para proteger tus cuentas. Algunas aplicaciones de autenticación en dos factores funcionan exclusivamente de forma local, pero otras funcionan a través de la nube donde se almacenan todos los tokens de los diferentes servicios. Si quieres una app local para tus autenticaciones en dos pasos, la mejor es Google Authenticator, aunque recuerda que también tiene una opción para sincronizar los token con tu cuenta de Google, si haces esto, entonces pasará de ser una app local a una app en la nube como el resto de alternativas. Otra muy buena opción, es utilizar un gestor de contraseñas local como KeePass, para no depender de servicios externos ni de la nube pública, para que así no puedan atacarnos.
En definitiva, Authy ha sido víctima de un importante robo de 33 millones de números de teléfono de sus usuarios. Lo que pueden hacer los cibercriminales es lanzar ataques Phishing aprovechando esa información. Es clave protegerte y no cometer errores, porque con esta gran filtración podrían usar nuestro número de teléfono para enviarnos diferentes ataques de Phishing, más o menos elaborados. Hay que tener en cuenta que, gracias a la IA, los ciberdelincuentes realizan ataques cada vez más sofisticados, así que debes tenerlo muy en cuenta y no caer en ninguna trampa.