¡Pide presupuesto en 2 min! ✓
Ciberseguridad

Vulnerabilidades de la autenticación de doble factor

El incremento de los ciberataques y de la filtración de cuentas de usuario, hizo que la autenticación de doble factor se presentará como una de las mejores soluciones de seguridad para evitar el robo de cuentas o el uso fraudulento de números de tarjeta de débito o crédito en transacciones online. Sin embargo, ¿es la autenticación en dos pasos totalmente infalible? En este artículo veremos si existen o no vulnerabilidades de la autenticación de doble factor.

¿La autenticación de doble factor es infalible?

La autenticación de doble factor o verificación en dos pasos es una de las medidas de seguridad más fáciles de adoptar y usar y son muchos los usuarios que la ponen ya en práctica (en este blog os hemos recomendado en muchos de sus artículos el activarla para mejorar y reforzar la seguridad de vuestras cuentas).

Con usuarios cada vez más concienciados y preocupados con la seguridad de sus cuentas, la mayoría de servicios y plataformas online cuentan con la opción de activar y desactivar la autenticación de doble factor en función de lo que prefiera el usuario. Y sin duda se ha convertido en una de las medidas de seguridad más recomendadas para mantener nuestras cuentas en línea a salvo de los cibercriminales.

Y si bien, la autenticación de doble factor es efectiva en la gran mayoría de los casos en los que se intenta robar una cuenta de usuario, algunos cibercriminales han conseguido encontrar la forma de burlar esta medida de seguridad, de manera que aunque siempre es recomendable tenerla activada, no podemos decir ya que sea cien por cien infalible. Así informaba de ello un informe de Panda Security.

Principales vulnerabilidades de la autenticación de doble factor

El citado informe de Panda Security expone las vulnerabilidades de la autenticación de doble factor que ya han sido detectadas. Aunque, como veremos a continuación, conseguir burlar la autenticación en dos pasos requiere que se den ciertas circunstancias, lo que es seguro es que demuestra que el sistema tiene vulnerabilidades que debemos tener en cuenta y con la que tanto los usuarios como los proveedores de servicios han de ser cuidadosos.

Como sabéis, la autenticación de doble factor requiere de un primer factor, que es la contraseña, y un segundo factor para autenticar la identidad; el más usado es el código enviado por SMS (por ejemplo, cuando efectuamos una compra online, al introducir el número de tarjeta, nuestro banco nos enviará un código para confirmar que somos nosotros quienes han hecho la operación; este código puede enviarse por SMS, aunque dependiendo del banco y de la aplicación que estemos usando, puede facilitarse a través de otros medios).

Las filtraciones o robos de datos que han sufrido diferentes plataformas y empresas (como Facebook, LinkedIn, PhoneHouse, etc.) han expuesto millones de cuentas de usuarios en la dark web, haciendo que sea relativamente «fácil» conseguir pares de usuarios y credenciales, de manera que conseguir el primer factor de autenticación es posible gracias a estas filtraciones. Si a eso añadimos usuarios que usan la misma contraseña y correo para registrarse en diferentes sitios y que, además, cambian poco o no cambian nunca dichas credenciales, las posibilidades de ver vulneradas sus cuentas se multiplican.

Hacerse con el segundo factor de autenticación una vez se tiene el primero, requiere de algo más de trabajo, pero, como veremos en las siguientes líneas, no es imposible.

Panda advierte que algunos cibercriminales están consiguiendo interceptar esos códigos de verificación que se envían por SMS a los teléfonos de los usuarios. Para ello emplean métodos como el SIM swapping, mediante el que el cibercriminal convence al proveedor de servicios de que él es el auténtico titular de la SIM y consigue hacerse con el control del número de teléfono, de manera que será él quien reciba los códigos de verificación.

Otro método para comprometer los códigos de verificación enviados por SMS es la utilización de herramientas de proxy inverso, como Modlishka. El Proxy inverso es un tipo de servidor que se emplea para recuperar recursos en nombre de un cliente desde uno o más servidores distintos, esos recursos recuperados se devuelven después al cliente como si se hubiesen generado en ese servidor web.

Lo que hacen los cibercriminales es modificarlo para redireccionar el tráfico a páginas de inicio de sesión y a formularios de phishing. El cibercriminal intercepta la comunicación entre un servicio auténtico y una víctima, rastrea y registra las interacciones de la víctima con el servicio, lo que incluye también las credenciales de inicio de sesión.

Existe otro método para vulnerar los códigos de verificación enviados por SMS, en este caso utilizando una función de Google Play Store que permite instalar automáticamente aplicaciones de la web en móviles Android. Cuando el cibercriminal consigue las credenciales para iniciar sesión en la cuenta de Google Play en un ordenador, puede después operar cualquier aplicación en el teléfono de la víctima (en teoría, si esto ocurre, deberíamos recibir un aviso en nuestro móvil de que se ha iniciado sesión en otro dispositivo).

También aprovechando una función de sincronización de Google Play Store en diferentes dispositivos, los cibercriminales pueden instalar una aplicación de duplicación de mensajes e intentar convencer a la víctima para que habilite los permisos necesarios para que la aplicación funcione de manera correcta (empleando la ingeniería social).

Como dijimos, deben darse ciertas condiciones para poder explotar estas vulnerabilidades de la autenticación de doble factor, especialmente cuando los códigos de verificación se reciben por SMS, pero el hecho de que se puedan producir, debe llevarnos a ser precavidos y poner en práctica algunos de los consejos de seguridad que dejaremos en el último punto de este artículo.

Ejemplos de amenazas para la autenticación de doble factor

En marzo de 2021, la consultoría de seguridad Night Watch Cybersecurity confirmó que el troyano bancario Cerberus había conseguido robar los códigos de autenticación de doble factor de la aplicación Authenticator de Google. El malware aprovecha una vulnerabilidad de la app para realizar una captura de pantalla cuando el usuario la tiene abierta. Al parecer, esta misma vulnerabilidad también estaría presente en Microsoft Authenticator.

Un usuario de AT&T perdió el acceso a las cuentas asociadas a su número de teléfono (en concreto a su cuenta de Gmail y de Coinbase) cuando el departamento de atención al cliente le dio acceso al cibercriminal, al que solo le hicieron falta el número de teléfono, la información de facturación y alguien de atención al cliente que decidió «ayudarle» aunque no pudo darle el código de acceso correspondiente. En este caso, al contar con el número de teléfono y esa información de facturación, probablemente al cibercriminal le fue más fácil convencer a atención al cliente de que era el auténtico titular del número.

¿Podemos protegernos de las vulnerabilidades de la autenticación de doble factor?

Sí, es posible protegerse de las vulnerabilidades de la autenticación de doble factor. Lo primero es ser consciente de que podemos ser víctimas de una filtración de datos, ya que estas ocurren muchas más veces de lo que pensamos, lo que significa que datos como nuestro número de teléfono, email o nombre de usuario pueden haber quedado expuestos.

Que nuestro email quede expuesto puede causarnos inconveniencias, como que nos suscriban a un newsletter, por ejemplo, algo que no es realmente problemático más allá de acabar con más correo indeseado (y que gracias al doble optin, podemos librarnos fácilmente). El problema está cuando junto a la dirección de email, se facilita también la contraseña asociada a la cuenta de usuario hecha con ese email, ya que así cualquiera que se haga con esas credenciales, tendrá acceso y control sobre nuestras cuentas.

Así que una forma de protegernos de las vulnerabilidades de la autenticación de doble factor es comprobar a través de herramientas como HaveIbennpwned si los datos de nuestras cuentas han sido expuestos y de ser así, proceder a cambiar las contraseñas expuestas lo antes posible.

También es recomendable utilizar diferentes contraseñas para diferentes cuentas, así nos aseguramos de que si una cuenta queda expuesta, los cibercriminales no podrán acceder al resto, al no compartir la misma contraseña.

Finalmente, procura, siempre que sea posible, no usar el SMS como segundo método de autenticación (aunque esto depende más del sitio en el que te estés registrando).

En cualquier caso, pese a estas vulnerabilidades de la autenticación de doble factor, seguimos recomendando activarla, ya que refuerza realmente la seguridad de nuestras cuentas de usuario, y seguir los consejos sobre estas líneas.