Ahora es bien sabido que los nombres de usuario y las contraseñas no son suficientes para acceder de forma segura a los servicios en línea. Un estudio reciente destacó que más del 80% de todas las infracciones relacionadas con la piratería ocurren debido a credenciales débiles y comprometidas, con tres mil millones de combinaciones de nombre de usuario/contraseña robadas solo en 2016.

Como tal, la implementación de la autenticación de dos factores (2FA) se ha convertido en una necesidad. En general, 2FA tiene como objetivo proporcionar una capa adicional de seguridad al sistema de nombre de usuario/contraseña relativamente vulnerable.

También funciona. Las cifras sugieren que los usuarios que habilitaron 2FA terminaron bloqueando alrededor del 99,9 % de los ataques automatizados.

Pero como con cualquier buena solución de ciberseguridad, los atacantes pueden encontrar rápidamente formas de eludirla. Pueden omitir 2FA a través de los códigos de un solo uso enviados como SMS al teléfono inteligente de un usuario.

Sin embargo, muchos servicios en línea críticos en Australia todavía usan códigos de un solo uso basados ​​en SMS, incluidos myGov y los 4 bancos grandes:ANZ, Commonwealth Bank, NAB y Westpac.

Entonces, ¿cuál es el problema con los SMS?

Los principales proveedores como Microsoft han instado a los usuarios a abandonar las soluciones 2FA que aprovechan los SMS y las llamadas de voz. Esto se debe a que SMS es conocido por tener una seguridad infamemente deficiente, lo que lo deja abierto a una gran cantidad de ataques diferentes.

Por ejemplo, se ha demostrado que el intercambio de SIM es una forma de eludir 2FA. El intercambio de SIM implica que un atacante convenza al proveedor de servicios móviles de la víctima de que él mismo es la víctima y luego solicita que el número de teléfono de la víctima se cambie a un dispositivo de su elección.

También se muestra que los códigos únicos basados ​​en SMS se ven comprometidos a través de herramientas fácilmente disponibles como Modlishka al aprovechar una técnica llamada proxy inverso. Esto facilita la comunicación entre la víctima y un servicio suplantado.

Entonces, en el caso de Modlishka, interceptará la comunicación entre un servicio genuino y una víctima y rastreará y registrará las interacciones de las víctimas con el servicio, incluidas las credenciales de inicio de sesión que puedan usar).

Además de estas vulnerabilidades existentes, nuestro equipo ha encontrado vulnerabilidades adicionales en 2FA basado en SMS. Un ataque en particular explota una función proporcionada en Google Play Store para instalar automáticamente aplicaciones desde la web a su dispositivo Android.

Si un atacante tiene acceso a sus credenciales y logra iniciar sesión en su cuenta de Google Play en una computadora portátil (aunque recibirá un aviso), puede instalar automáticamente cualquier aplicación que desee en su teléfono inteligente.

El ataque a Android

Nuestros experimentos revelaron que un actor malintencionado puede acceder de forma remota a la 2FA basada en SMS de un usuario con poco esfuerzo, mediante el uso de una aplicación popular (el nombre y el tipo no se revelan por razones de seguridad) diseñada para sincronizar las notificaciones del usuario en diferentes dispositivos.

Específicamente, los atacantes pueden aprovechar una combinación comprometida de correo electrónico/contraseña conectada a una cuenta de Google (como [email protected]) para instalar de manera nefasta una aplicación de duplicación de mensajes fácilmente disponible en el teléfono inteligente de la víctima a través de Google Play.

Este es un escenario realista ya que es común que los usuarios usen las mismas credenciales en una variedad de servicios. El uso de un administrador de contraseñas es una forma eficaz de hacer que su primera línea de autenticación (su nombre de usuario/contraseña de inicio de sesión) sea más segura.

Una vez instalada la aplicación, el atacante puede aplicar técnicas sencillas de ingeniería social para convencer al usuario de que habilite los permisos necesarios para que la aplicación funcione correctamente.

Por ejemplo, pueden fingir que llaman de un proveedor de servicios legítimo para convencer al usuario de que habilite los permisos. Después de esto, pueden recibir de forma remota todas las comunicaciones enviadas al teléfono de la víctima, incluidos los códigos de un solo uso utilizados para 2FA.

Aunque se deben cumplir varias condiciones para que funcione el ataque antes mencionado, sigue demostrando la naturaleza frágil de los métodos 2FA basados ​​en SMS.

Más importante aún, este ataque no necesita capacidades técnicas de alto nivel. Simplemente requiere información sobre cómo funcionan estas aplicaciones específicas y cómo usarlas de manera inteligente (junto con la ingeniería social) para apuntar a una víctima.

La amenaza es aún más real cuando el atacante es una persona de confianza (por ejemplo, un miembro de la familia) con acceso al teléfono inteligente de la víctima.

¿Cuál es la alternativa?

Para permanecer protegido en línea, debe verificar si su línea de defensa inicial es segura. Primero verifique su contraseña para ver si está comprometida. Hay una serie de programas de seguridad que le permitirán hacer esto. Y asegúrese de estar usando una contraseña bien diseñada.

También le recomendamos que limite el uso de SMS como método 2FA si puede. En su lugar, puede usar códigos únicos basados ​​en aplicaciones, como a través de Google Authenticator. En este caso, el código se genera dentro de la aplicación Google Authenticator en su propio dispositivo, en lugar de enviárselo a usted.

Sin embargo, este enfoque también puede verse comprometido por piratas informáticos que utilizan malware sofisticado. Una mejor alternativa sería usar dispositivos de hardware dedicados como YubiKey.

Estos son pequeños dispositivos USB (o habilitados para comunicación de campo cercano) que brindan una forma simplificada de habilitar 2FA en diferentes servicios.

Dichos dispositivos físicos deben conectarse o acercarse a un dispositivo de inicio de sesión como parte de 2FA, lo que mitiga los riesgos asociados con los códigos visibles de un solo uso, como los códigos enviados por SMS.

Debe enfatizarse que una condición subyacente a cualquier alternativa 2FA es que el usuario mismo debe tener algún nivel de participación activa y responsabilidad.

Al mismo tiempo, los proveedores de servicios, desarrolladores e investigadores deben seguir trabajando para desarrollar métodos de autenticación más accesibles y seguros.

Esencialmente, estos métodos deben ir más allá de 2FA y hacia un entorno de autenticación de múltiples factores, donde múltiples métodos de autenticación se implementan y combinan simultáneamente según sea necesario.