Blog

Amnistía Internacional: El phishing se apodera de la verificación en dos pasos, los tokens físicos son la mejor opción

Amnistía Internacional: El phishing se apodera de la verificación en dos pasos, los tokens físicos son la mejor opción

Sorprende descubrir que Amnistía Internacional se dedica a hacer auditorías de ciberseguridad, pero tienen un buen motivo: su participación en proyectos en Oriente medio y África ha servido para detectar que allí los hackers han puesto en problemas algunos sistemas de verificación en dos pasos (2FA, Two Factor Authentication).

Estos sistemas de seguridad ofrecen una interesante capa de seguridad adicional para los usuarios, pero ya se ha descubierto que los hackers allí logran engañar a los usuarios con técnicas de phishing para superar la protección de los sistemas 2FA.

Las llaves USB de seguridad, la mejor opción

Usar tan solo un usuario y una contraseña para proteger nuestras cuentas en servicios web es bastante poco recomendable, y es ahí donde la verificación en dos pasos permite usar por ejemplo el smartphone como sistema de seguridad para recibir

Los SMS no son la mejor opción a la hora de poner en marcha un sistema de seguridad de este tipo, y ahora incluso las aplicaciones móviles que generan esos tokens temporales tampoco serían del todo seguras. ¿Cuál es el problema?

En el estudio de Amnistía Internacional lo dejan claro: un atacante puede construir una página web que copie la interfaz por ejemplo de Google Drive cuando intentamos entrar a este servicio. Al hacerlo el usuario no se da cuenta de que está ingresando su usuario y contraseña en esa página, pero es que también ingresa en ella el código SMS que se le envía a su teléfono: el hacker capta todos esos datos en la página de phishing y los introduce en la página de Google Drive real, lo que le da acceso a todos nuestros datos almacenados.

Este análisis por ejemplo explicaba cómo los ciber-criminales crean también réplicas de conocidos servicios en dominios que logran comprar y que se parecen mucho a los originales. Es lo que han descubierto con servicios de correo seguro tales como Tutanota o Protonmail.

El dominio real del primero es tutanota.com, pero los atacantes tienen el control de tutanota.org, algo peligroso porque uno pensaría que estas empresas registran el dominio .com pero a la vez hacen lo propio con otros como .org o .net, por ejemplo. En el caso de Protonmail el dominio es protonmail.ch, y los atacantes tomaron el control de protonemail.ch, que si uno no está atento puede confundir con el legítimo sitio web oficial.

Los datos revelan que este proceso se puede realizar a gran escala mediante un sistema totalmente automatizado, lo que puede convertir estos sistemas 2FA en algo poco útil para muchos usuarios. Los atacantes incluso generan alertas como las que generarían servicios como los de Google para enmascarar aún más el engaño.

Sin embargo hay una alternativa mucho más segura en este ámbito: las llaves o tokens de seguridad USB como Yubikey o SoloGoogle creó la suya propia recientemente— son una excelente opcion para los usuarios e integran una seguridad bastante fiable. Basta con tenerlas conectadas a los equipos para tener un mecanismo 2FA de seguridad que saldría indemne de este tipo de técnicas de phishing, ya que el sistema que valida esa conexión final es un dispositivo físico que solo está en poder del usuario.

 

Sobre Valenhaus

Desde febrero de 1992 aportando soluciones y servicios informáticos a empresas.

Consulta nuestros servicios informáticos como podemos mejorar la productividad en tu empresa y aportar una reducción de costes.

Últimas novedades

08 Enero 2019

Buscar