Para proteger una cuenta bancaria en Internet, un método muy útil es habilitar la autenticación de factor múltiple. Más allá de la clave de acceso, vas a tener que poner algo adicional para poder enviar una transferencia, por ejemplo. Generalmente, este método adicional suele ser un código que te llega por SMS. Pero, ¿cómo podrían los ciberdelincuentes romper esta protección añadida? Te vamos a explicar cómo lo hacen y así poder protegerte mejor.
Ten en cuenta que robar una contraseña puede ser el paso más fácil para un pirata informático. Podrían adivinarla si usas una débil, utilizar algún keylogger, lanzar un ataque Phishing para que entres desde un link falso, etc. Pero siempre se encontrarán con esa segunda medida de seguridad que van a tener que saltarse.
Cómo rompen la 2FA de los bancos
Básicamente, lo que van a hacer es utilizar la ingeniería social. Van a hacer que caigas en una nueva trampa y entregues esos códigos de 2FA. Y tienen diferentes opciones, como vas a ver. En cuanto esto suceda, en cuanto consigan ese código, es como si actuaran en tu nombre. Van a poder enviar una transferencia o hacer lo que quieran.
Llamada fraudulenta
Sin duda, es uno de los métodos más usados en ingeniería social para romper la protección multifactor en una cuenta bancaria. El atacante va a robar la contraseña, por el método que sea, y necesitará ese segundo paso. Lo que hace es llamar a la víctima, ya que previamente se habrá hecho con sus datos. Van a hacerse pasar por su banco, dirán que necesitan verificar algunas cosas para evitar que entren en la cuenta, etc. La cuestión clave será que pedirán unos códigos que van a llegar por SMS.
Claro, esos códigos son los de autenticación en dos pasos. Es justo lo que van a necesitar, más allá de la contraseña, para poder enviar una transferencia. Pueden engañar a personas desprevenidas, que crean que están hablando con su banco y que realmente hay algún problema. Jamás hagas esto. Tu banco nunca te va a solicitar ninguna clave, ni código, a través de una llamada. Es una estafa.
Bombardeo de notificaciones
En muchos casos, la medida de 2FA consiste en aceptar una notificación que te llega a tu móvil. La aplicación del banco puede pedirte que aceptes para realizar un pago, por ejemplo. Lo que hacen los ciberdelincuentes, una vez han robado la contraseña, es bombardear a la víctima con este tipo de notificaciones, para que se desespere y, por error, termine aceptando.
Ten mucho cuidado con esto. Siempre que vayas a aceptar alguna notificación de este tipo, verifica que se trata de algo legítimo y no es una estrategia de algún pirata informático para estafarte sin que lo sepas.
Ataque Man in the Middle
Es así como se llama a un ataque con intermediario. La estrategia, en este caso, es algo más compleja. Precisamente, la idea de utilizar la 2FA es evitar que accedan si roban la contraseña por un ataque de este tipo o Phishing. Necesitan que te conectes a una red que controlan e inicies sesión a través de una web falsa, la cual han creado solo para robarte.
Al poner la contraseña en ese sitio web, los atacantes van a verla y, automáticamente, la van a poner en la web legítima del banco. Eso es lo que va a desencadenar que recibas un código de 2FA y, como no vas a sospechar, aceptarás. Eso permitirá al atacante realizar alguna acción rápida, mientras tú estás intentando entrar en una página falsa del banco. Aquí el tiempo juega un papel muy importante.
Para protegerte de este método, es esencial que te conectes de forma segura a redes Wi-Fi públicas. Siempre puedes usar una buena VPN, como pueden ser Surfshark o NordVPN. Además, debes comprobar que estás en la web legítima del banco. Siempre puedes detectar una web falsa y así evitar caer en la trampa.
Como ves, los cibercriminales van a tener diferentes opciones para robar tus códigos de 2FA y acceder a tu banco. Es imprescindible mantener el sentido común en todo momento y no cometer errores. Eso te ayudará a protegerte y que no roben tu dinero con facilidad.