Cómo los hackers están descifrando la autenticación de dos factores en las cuentas de Google

Cómo los hackers están descifrando la autenticación de dos factores en las cuentas de Google

El acceso a la cuenta a través de una contraseña única y de corta duración en un mensaje de texto se consideraba, hasta hace poco, una barrera sencilla y fiable para los ciberdelincuentes. Sin embargo, los hackers han aprendido a eludir la autenticación de dos factores para las cuentas de Internet también.

♥ ON TOPIC: Virus en el iPhone: ¿Es posible infectar un smartphone de Apple?

Índice

    Cómo funciona.

    Los hackers consiguen el nombre de usuario y la contraseña de la cuenta de Google de un determinado usuario por cualquier medio conveniente. Básicamente, esto se hace con la ayuda del phishing. Un usuario recibe un correo electrónico falso de Google, alegando que necesita acceder al sitio con urgencia para asegurar su cuenta. El usuario desprevenido hace clic en el enlace del correo electrónico y se encuentra en un sitio fraudulento que parece exactamente igual al oficial, introduce su nombre de usuario y contraseña que los hackers reciben inmediatamente.

    Averiguar el número de teléfono al que está vinculada la cuenta también es fácil. Pero nadie tiene prisa por hackear más, sino que primero se genera un mensaje SMS al estilo de los mensajes oficiales del servicio con una notificación falsa. Digamos que hubo un intento de inicio de sesión no autorizado en su cuenta, pero atrapamos a los gamberros con la mano.

    Para evitar el bloqueo de su cuenta y demostrar que es el verdadero propietario de la misma, envíenos el código de verificación del siguiente SMS.

    El mensaje contiene datos válidos -dirección IP y nombre de usuario-, su estilo copia los mensajes reales de soporte técnico de Google, por lo que la víctima está preocupada pero no se siente atrapada, los pensamientos se deslizan en otra dirección.

    Entonces todo se desarrolla minuto a minuto, ya que la vida del código es corta:

    • Los hackers inician el acceso a la cuenta y obtienen una solicitud de entrada de código
    • El SMS con él llega al número de teléfono de la víctima como de costumbre
    • el código se transmite con confianza a los hackers
    • El código se verifica, y voilà.

    De hecho, en lugar de una verdadera violación de la seguridad, se produce un engaño, una sustracción de la clave privada de un usuario de confianza. ¿Demandas contra Google? Por qué - la autenticación de dos factores funcionó como se describe en la norma y el acuerdo de usuario. Otra cosa es que cuando lo crearon no pensaron en "a prueba de tontos", por muy ofensivo que pueda sonar para millones de personas.

    ♥ ON TOPIC: Red de localización, o cómo activar la búsqueda "Find iPhone (iPad)" sin conexión para encontrar dispositivos apagados.

    ¿Qué se puede hacer?

    La información clave para el hackeo es el conjunto de nombre de usuario y contraseña: si los hackers tienen algo a lo que agarrarse, tiene sentido lanzar un ataque. Pueden obtener esta información de mil y una maneras, pero suelen ser los usuarios más descuidados los que la sufren. Mark Zuckerberg, por ejemplo, que se puso en evidencia con su supercontraseña "dadada" en varias cuentas. Las gigantescas bases de datos son robadas y filtradas a la red con regularidad: acostúmbrate a utilizar contraseñas diferentes, bonitas y complejas, y cámbialas al menos una vez al trimestre, no cuando se haga tarde y sea frustrante.

    Los expertos en seguridad recomiendan leer los textos de los mensajes de los servicios robotizados, aunque los reciba por docenas al día. Pero, ¿qué pasa si te das cuenta a tiempo de que Facebook es el destinatario mientras tú utilizas una cuenta de Yandex o Gmail? Los ciberdelincuentes cambian constantemente de identidad, pero pequeñas incoherencias en el esquema de trabajo pueden ponerlos en evidencia. Si te piden que hagas clic en un enlace, fíjate bien en los símbolos, podría ser una página de phishing. Y si hay dudas sobre algo, es mejor informar al servicio de seguridad. Es más fácil que intentar recuperar tu cuenta.

    Véase también:

    Subir

    Si continuas utilizando este sitio aceptas el uso de cookies. Más Información


    Parada Creativa