Sorprende descubrir que Amnistía Internacional se dedica a hacer auditorías de ciberseguridad, pero tienen un buen motivo: su participación en proyectos en Oriente medio y África ha servido para detectar que allí los hackers han puesto en problemas algunos sistemas de verificación en dos pasos (2FA, Two Factor Authentication).
Estos sistemas ofrecen una interesante capa de seguridad adicional para los usuarios, pero se ha descubierto que los hackers allí logran engañar a los usuarios con técnicas de phishing para superar la protección de los sistemas 2FA.
Las llaves USB de seguridad, la mejor opción
Usar tan solo un usuario y una contraseña para proteger nuestras cuentas en servicios web es poco recomendable, y es ahí donde la verificación en dos pasos permite usar por ejemplo el móvil como sistema para recibir un SMS e ingresar el código que se nos envía a nuestro dispositivo.
Ya comentamos como los SMS no son la mejor opción a la hora de poner en marcha un sistema de este tipo, y ahora incluso las aplicaciones móviles que generan esos tokens temporales tampoco serían del todo seguras. ¿Cuál es el problema?
En el estudio de Amnistía Internacional lo dejan claro: un atacante puede construir una página web que copie la interfaz por ejemplo de Google Drive cuando intentamos entrar a este servicio. Al hacerlo el usuario no se da cuenta de que está ingresando su usuario y contraseña en esa página, pero es que también ingresa en ella el código SMS que se le envía a su teléfono: el hacker capta todos esos datos en la página de phishing y los introduce en la página de Google Drive real, lo que le da acceso a todos nuestros datos.
Este análisis por ejemplo explicaba cómo los cibercriminales crean también réplicas de conocidos servicios en dominios que logran comprar y que se parecen mucho a los originales. Es lo que han descubierto con servicios de correo seguro como Tutanota o Protonmail.
El dominio real del primero es tutanota.com, pero los atacantes tienen el control de tutanota.org, algo peligroso porque uno pensaría que estas empresas registran el dominio .com pero a la vez hacen lo propio con otros como .org o .net, por ejemplo. En el caso de Protonmail el dominio es protonmail.ch, y los atacantes tomaron el control de protonemail.ch, que si uno no está atento puede confundir con el legítimo sitio web oficial.
Los datos revelan que este proceso se puede realizar a gran escala mediante un sistema automatizado, lo que puede convertir estos sistemas 2FA en algo poco útil para muchos usuarios. Los atacantes incluso generan alertas como las que generarían servicios como los de Google para enmascarar aún más el engaño.
Sin embargo hay una alternativa mucho más segura en este ámbito: las llaves o tokens de seguridad USB como Yubikey o Solo —Google creó la suya propia recientemente— son excelentes opciones para los usuarios. Basta con tenerlas conectadas a sus equipos para tener un mecanismo 2FA de seguridad que saldría indemne de este tipo de técnicas de phishing, ya que el sistema que valida esa conexión final es un dispositivo físico que solo está en poder de esos usuarios.
Vía | The Inquirer
Más información | Amnistía Internacional