TECNOLOGÍA

Este contenido es exclusivo para nuestros suscriptores.

La autenticación de doble factor (2FA) ha sido defendida como un método de seguridad fiable. Pero en un terreno que se parece a una “escalada armamentista” –como lo ilustró Hugo Köncke, gerente regional de consultoría de Security Advisor–, lo que ayer se creía infalible, hoy no lo es más. Sonados ataques han demostrado que la 2FA es fácilmente vulnerable. Un clásico en el menú es el intercambio de SIM.

A diferencia de una contraseña común, la 2FA es una secuencia numérica producida por distintos procedimientos que pasa a estar en poder del usuario mediante diferentes vías. Y aquí aparece el problema. Si el código numérico se recibe mediante un mensaje de texto, “el riesgo no es menor”, a juicio de Köncke. Esto hoy es una práctica común para el ingreso a muchas aplicaciones.

Un poco más seguro es si el segundo factor surge del uso de un dispositivo físico o virtual. Pero también se registran problemas. Recientemente, investigadores revelaron que Google Authenticator, una de las herramientas más recomendadas para estos fines, es vulnerable a un código malicioso capaz de robar los códigos de acceso. José Luis López, director de Videosoft ESET, señaló que este malware puede robar la información y enviarla a un servidor controlado por los ciberdelincuentes sin que las víctimas se percaten de sus movimientos.

“Independientemente de cómo se genera el segundo factor, los atacantes han perfeccionado técnicas combinadas que les permiten burlar esta seguridad”, apuntó Köncke. Aquí entra en juego la ingeniería social.

La clave está en el engaño. Lo primero que sucede es que los atacantes crean un sitio web que es un duplicado del original al que pretenden acceder haciéndose pasar por la víctima. Luego tienen que conseguir que esta caiga “en alguna trampa” que la lleve a la página fraudulenta. Esto, en general, se hace mediante correos electrónicos que incluyen enlaces. A partir del momento en que la víctima ingresa sus datos en el sitio falso, los atacantes rápidamente los utilizan en el sitio real.

“Aunque haya un doble factor de por medio, este es válido por varios segundos, lo que suele dar tiempo a que sea capturado en un sitio y reutilizado en otro”, explicó Köncke. Y añadió: “Esta maniobra, hecha, por ejemplo, sobre un sitio de banca online, permitiría a los atacantes acceder a la información de las cuentas de la víctima (…) y robar dinero, transfiriéndolo a cuentas bajo su control”.

Otra situación en la que la 2FA resulta burlada es cuando el equipo de la víctima está comprometido de manera tal que el atacante tiene acceso a todo lo que esta hace en él. Esto sucede a partir de la instalación de alguna forma de malware. “Aquí no importa cuántos factores se utilicen para fortalecer la autenticación. El atacante estará actuando desde el propio equipo de la víctima y al mismo tiempo que ella”, señaló el experto.

Un ataque de intercambio de SIM (o SIM-swapping) puede tirar abajo la seguridad que supone la autenticación de dos factores. Este ataque se hizo popular en la comunidad de hackershace años y, según reportes internacionales, ha crecido durante 2019. Al principio, los ciberdelincuentes estaban interesados en tomar el control de determinados nombres de cuentas de redes sociales; luego comenzaron a atacar a los titulares de criptomonedas.

¿Cómo funciona?: un hacker se hace pasar por el usuario ante la operadora para solicitar un nuevo chip o tarjeta SIM, aduciendo cualquier razón; por ejemplo, la pérdida del dispositivo o daño irreparable. De esta forma, el número del abonado deja de funcionar en la SIM anterior y pasa a hacerlo en la que tiene el atacante. Este podrá tener acceso a toda la información, incluidos los códigos de autenticación enviados por SMS. El código, en teoría confidencial, nunca le llega al usuario.

No se puede estimar cuántos usuarios de teléfonos móviles han sido afectados por un intercambio de SIM. En el último año hubo algunos casos destacados como el CEO de Twitter, Jack Dorsey; o la actriz Jessica Alba. Los hackers usaron sus cuentas para publicar mensajes ofensivos y obtuvieron acceso a charlas privadas.

Las compañías telefónicas han sido conscientes del problema durante años, pero la única solución de rutina que han encontrado es ofrecer códigos PIN que el propietario del teléfono debe proporcionar para cambiar de dispositivo. Pero, según señala un informe del New York Times, incluso esta medida ha resultado ineficaz. Los ciberdelincuentes pueden obtener los códigos PIN sobornando a los empleados de las empresas.

“Si bien la tendencia es a que se deje de utilizar esta forma de implementar 2FA, todavía persiste su uso en muchos casos, y lo que es peor, en muchas instituciones bancarias que basan en ella la autenticación de sus clientes. Ni más ni menos, esto es lo que le sucedió a Jack Dorsey”, apuntó el gerente de Security Advisor.

Y añadió: “Queda claro que el rol de la operadora telefónica es fundamental. Si no sucediera que no piden una identificación válida, el SIM-swapping no existiría”.

Entonces, ¿cuál es la solución que brinda más seguridad al usuario? Para Köncke, cada día es más difícil responder “de manera responsable” esa pregunta. “No hay balas de plata”, dijo. No obstante, una buena opción es una “estrategia combinada” de “estar alerta y ser proactivos”: no caer en engaños, no seguir links sospechosos, acceder a páginas desde el navegador, verificar la autenticidad de los correos recibidos y disponer de defensas “avanzadas” en los sistemas. “Ya los tradicionales programas conocidos vulgarmente como ‘antivirus’ no dan los resultados que se necesitan. Las técnicas de ataque usadas por los delincuentes requieren de defensas avanzadas que solo están disponibles en herramientas de última generación”, comentó.

José Luis López, director de Videosoft ESET, afirmó: “Paradójicamente, desconfiar antes de hacer clic sigue siendo nuestro principal aliado en un mundo cada vez más tecnificado”.