Una forma muy interesante de agregar una capa extra de seguridad a nuestras cuentas es utilizar la autenticación en dos pasos. Como sabemos es una manera de asegurarnos de que nadie puede entrar con nuestro usuario incluso teniendo la contraseña. Necesitarían ese segundo paso que suele ser un código que se recibe por SMS. Ahora bien, ¿es realmente esto seguro? Hoy nos hacemos eco de un nuevo malware que es capaz de robar esos códigos de verificación en dos pasos.
Un nuevo malware puede robar los códigos de verificación en dos pasos
Concretamente estamos ante un malware que afecta a dispositivos Android. Se trata de una aplicación presente en Google Play y que se hizo pasar por software legítimo. En realidad su objetivo era robar los códigos que recibimos por SMS a través de las notificaciones del sistema. En concreto se trata de una aplicación llamada Photo Beautification, diseñada para embellecer las imágenes que hacemos.
Hay que mencionar que Google ha mejorado la seguridad en los últimos tiempos. Hizo varios cambios para que las aplicaciones tuvieran mucho más difícil acceder a las llamadas o SMS de los usuarios. De esta forma, sin estos permisos, no podrían robar códigos de autenticación en dos pasos, por ejemplo. Estas restricciones hacen que sea más complicado que envíen malware o roben información.
Ahora bien, como suele ocurrir los piratas informáticos también buscan la manera de mejorar sus ataques. Es el caso de este malware del que nos hacemos eco. En esta ocasión no lee los SMS de la forma común, sino que accede a ellos a través de las notificaciones del sistema. Posteriormente, gracias a un código JavaScript malicioso, logra rellenar los formularios con ese código.
Según los investigadores de seguridad que han detectado este problema, esta aplicación ha sido descargada al menos 10.000 veces. Se han dado casos en los que los usuarios han visto cómo han usado sus tarjetas y créditos de aplicaciones de pago sin su consentimiento.
Los investigadores de seguridad, que pertenecen a Trend Micro, alertaron del problema a Google. Parece ser que no era la única con estas capacidades maliciosas y todas ellas ya han sido eliminadas de la plataforma de Android.
La autenticación en dos pasos por SMS, cuestionada
No es la primera vez que vemos casos en los que la verificación en dos pasos por SMS queda en mal lugar. Hay que recordar que han sido muchos los analistas de seguridad los que han indicado que este método no es el más correcto. Es mejor que nada, lógicamente, pero no una garantía 100% segura.
Muchos usuarios optan por utilizar alternativas para utilizar la autenticación en dos pasos. Existen herramientas externas que nos permiten utilizarlas y recibir los códigos. Una manera también de asegurarnos de que vamos a poder iniciar sesión incluso aunque nuestra tarjeta SIM no esté colocada.
Sin embargo lo cierto es que es un método que está muy presente en la actualidad. Especialmente cuando hablamos de cuentas bancarias, muchos envían códigos de verificación a través de SMS. En un artículo anterior hablamos de WinOTP Authenticator, una opción interesante.