Cómo pueden romper la autenticación en dos pasos y cómo evitarlo

Cómo pueden romper la autenticación en dos pasos y cómo evitarlo

Javier Jiménez

Mantener la seguridad de nuestras cuentas es esencial para no tener problemas que puedan comprometer nuestra privacidad. Hoy en día tenemos una gran cantidad de registros, usamos muchos dispositivos y, en definitiva, tenemos que gestionar muchas claves. Las contraseñas son la principal barrera de seguridad que podemos tener para evitar intrusos en nuestras cuentas. Ahora bien, si queremos mejorar aún más la fiabilidad y no tener problemas, es muy importante utilizar la autenticación en dos pasos. En este artículo vamos a hablar de cómo podrían romper la 2FA y qué podemos hacer para evitarlo.

Qué es la autenticación en dos pasos

La autenticación en dos pasos es un método adicional a la contraseña que permite proteger nuestras cuentas. Básicamente es un segundo paso, un segundo código que tenemos que introducir además de la clave normal.

Es algo que está cada vez más presente en las numerosas redes sociales, plataformas de Internet, registros, al iniciar sesión en dispositivos… La manera en la que podemos poner ese segundo código o validar nuestra cuenta puede diferente. Es muy habitual (aunque lo cierto es que no es lo más seguro) recibir un código por SMS y ponerlo al iniciar sesión. También podemos utilizar aplicaciones o incluso llaves físicas.

El objetivo de la autenticación de factor múltiple, como también se le conoce, es evitar que un intruso pueda acceder a nuestra cuenta incluso si tuviera la contraseña. Pongamos que alguien ha averiguado nuestra clave de Facebook o hemos sido víctimas de un ataque Phishing. Si tenemos activada la 2FA, ese intruso necesitaría un segundo código para poder entrar.

Por tanto, como vemos es una barrera extra de seguridad que viene muy bien para estar protegidos adecuadamente. Ahora bien, incluso este método podría ser explotado por los ciberdelincuentes. Hay ciertas opciones que podrían usar para romper la autenticación en dos pasos.

La importancia del uso de la autenticación 2FA

Cómo podrían romper la autenticación en dos pasos

Vamos a ver cuáles son los principales métodos que un hipotético intruso podría utilizar para lograr romper la autenticación en dos pasos y llegar a acceder a nuestras cuentas. Hay diferentes opciones que podrían utilizar y conviene conocerlas.

Ingeniería social

Uno de los métodos más importantes para los piratas informáticos a la hora de robar códigos de autenticación en dos pasos es la ingeniería social. Consiste básicamente en estafar a la víctima para que piensen que están ante algo legítimo, algo seguro.

Pueden usar diferentes estrategias para ello. Un ejemplo sería realizar una llamada haciéndose pasar por una entidad bancaria y solicitar un código que van a recibir por SMS para poder verificar que realmente es el usuario legítimo. Lógicamente lo que van a recibir es un código 2FA para poder realizar un pago o cualquier acción.

Pero también podrían utilizar enlaces maliciosos, enviar un correo electrónico o a través de redes sociales. De esta forma podrían igualmente engañar a ese usuario y llegar a obtener el código para verificar la cuenta e iniciar sesión.

Robo de cookies

También podrían utilizar el robo de cookies. Para ello pueden llevar a cabo ataques como cross-site scripting, envío de malware o secuestrar el navegador. Así consiguen recopilar todas las claves e incluso el código 2FA que el usuario pueda enviar.

Así, gracias al método de robo de cookies, el atacante podría acceder a una plataforma saltándose el código de autenticación en dos pasos. Es, por tanto, una posibilidad más que pueden tener los ciberdelincuentes.

Fuerza bruta

Un clásico en el robo de contraseñas, también puede aplicarse en los códigos 2FA. Eso sí, hay que tener en cuenta que no funciona igual en todas las plataformas. Es decir, en ocasiones podemos encontrarnos con un código de autenticación en dos pasos que simplemente son cuatro números. Podrían realizar un ataque de fuerza bruta y sería más sencillo de explotar que si fuera de ocho dígitos, donde además combinara letras mayúsculas y minúsculas.

Por tanto, aunque el éxito de robar códigos de autenticación de factor múltiple va a ser menor con la fuerza bruta, lo cierto es que es una opción más que pueden tener.

como protegerse de los ataques de fuerza bruta

Uso de terceros programas para iniciar sesión

Existen páginas que nos permiten iniciar sesión a través de redes sociales o usar un programa para recibir un código y posteriormente entrar. Si un atacante ha logrado robar el acceso de una de esas plataformas o programas, podría llegar a tener también el control de nuestra cuenta y saltarse el código 2FA. Es otra alternativa más que pueden usar.

Cómo evitar el robo de códigos de 2FA

Hemos visto que la autenticación en dos pasos es muy útil para proteger nuestras cuentas. Sin embargo los piratas informáticos también podrían llegar a saltarse esta seguridad. Es esencial que tomemos medidas y por ello vamos a dar algunos consejos importantes.

Crear contraseñas fuertes

La autenticación en dos pasos es un complemento muy importante a las contraseñas, pero no hay que olvidar que el hecho de usar una clave que sea fuerte va a ser muy importante. Debemos crear contraseñas que cumplan los requisitos adecuados, como es contar con mayúsculas y minúsculas, tener números y otros símbolos especiales.

Una contraseña fuerte es también aquella que es única, que no estamos usando en ningún otro lugar y que además es totalmente aleatoria. Hay que evitar poner palabras que nos relacionen, fechas o cualquier dato similar.

Utilizar programas 2FA seguros

¿Vamos a utilizar programas para generar códigos 2FA? Es una opción muy interesante, pero debemos utilizar servicios que sean fiables. Hay que evitar aquellos que no nos den garantías y puedan ser un problema para nuestra seguridad, más que realmente protegernos.

No guardar los códigos de forma insegura

Por supuesto también debemos evitar almacenar los códigos de autenticación en dos pasos de forma insegura. Esto podría ser, por ejemplo, tenerlos en un archivo de texto plano en nuestro ordenador. En caso de que un posible intruso accediera al sistema podría tener el control de una manera sencilla.

Sentido común

Otra cuestión muy importante es el sentido común. Aquí podemos mencionar por ejemplo evitar abrir links inseguros, iniciar sesión a través de sitios de terceros, dar nuestro código en caso de recibir una llamada o por redes sociales.

A fin de cuentas la mayoría de los ataques van a requerir de la interacción del usuario. El atacante va a necesitar que la víctima lleve a cabo algún tipo de acción. De ahí que el sentido común, no cometer errores, sea una de las principales barreras de seguridad que podemos tener para no sufrir problemas.

En definitiva, estos son algunos consejos a tener en cuenta para proteger la autenticación en dos pasos y, de esta forma, evitar intrusos en nuestras cuentas o dispositivos. Una serie de recomendaciones muy interesantes que podemos poner en práctica.