El FBI advierte que las técnicas de ingeniería social podrían ayudar a evitar la autenticación multifactor

Hace un tiempo, hablamos sobre cuán útiles pueden ser los sistemas de autenticación de dos factores y de autenticación de múltiples factores y cómo pueden ayudar a los usuarios a proteger sus cuentas de los piratas informáticos. Sin embargo, con el tiempo, los especialistas en ciberseguridad demostraron que ningún sistema es invencible y que todas las medidas de seguridad pueden pasarse por alto si los atacantes tienen medios, fondos y la determinación de hacerlo. La última prueba de eso fue presentada en el anuncio del FBI . Discute los ataques observados por el FBI en los sistemas de autenticación multifactor y advierte que no dependa de capas de seguridad adicionales demasiado ciegamente. ¿Significa esto que usar la autenticación multifactor o configurar contraseñas seguras es una pérdida de tiempo? Puede encontrar las respuestas a estas preguntas más adelante en esta publicación de blog. Además, en el resto de este artículo, hablamos sobre cómo los piratas informáticos omiten la autenticación multifactor y con qué frecuencia ocurren tales ataques.

¿Cómo pueden los hackers evitar la autenticación multifactor?

Según la advertencia del FBI, los piratas informáticos evitan la autenticación multifactor con la ayuda de técnicas comunes de ingeniería social y ataques técnicos. El anuncio advirtió específicamente sobre el intercambio de SIM , las debilidades de los sitios web que manejan la autenticación multifactor y las herramientas de piratería , como Muraen y NecroBrowser .

El intercambio de SIM que también se conoce como estafa de transferencia es un ataque durante el cual los estafadores atacan una vulnerabilidad en un sistema de verificación que requiere un código de seguridad, que debe recibirse a través de un teléfono móvil. Para llevar a cabo tal ataque, los ciberdelincuentes deben transferir el número de teléfono de la víctima a un dispositivo que les pertenece. La mayoría de las compañías telefónicas brindan dichos servicios a los usuarios que pierden sus tarjetas SIM y desean conservar sus números telefónicos antiguos. Por lo tanto, para llevar a cabo con éxito los ataques de intercambio de SIM, los piratas informáticos tienen que aprender suficiente información sobre una víctima objetivo para poder suplantarlo y convencer a su proveedor de teléfono de transferir el número de teléfono necesario a una nueva tarjeta SIM. Tenga en cuenta que en caso de que los ciberdelincuentes tengan éxito, la tarjeta SIM original del usuario debe bloquearse. Por lo tanto, si alguna vez nota que su tarjeta SIM ya no funciona, debe comunicarse con su compañía telefónica lo más rápido posible y verificar si alguien podría haber intercambiado ilegalmente su tarjeta SIM.

A continuación, tenemos herramientas de hackeo llamadas Muraen y NecroBrowser . Fueron presentados en la conferencia Hack-in-the-Box que tuvo lugar en Amsterdam, en junio de 2019. Las herramientas fueron creadas para ataques de phishing automatizados que podrían evitar la Autenticación de dos factores. Durante ellos, las herramientas mencionadas crean una copia de un sitio web a través del cual se puede acceder a la cuenta objetivo. La diferencia entre los sitios web tradicionales de phishing y los sitios falsos creados con la ayuda de las herramientas Muraen y NecroBrowser es que los posteriores pueden solicitar códigos de verificación de los sitios originales. Por lo tanto, un usuario que intente iniciar sesión a través del sitio web falso recibirá un código de verificación del sitio legítimo. Una vez que se ingresa dicho código, los piratas informáticos no solo pueden usarlo para iniciar sesión en la cuenta objetivo, sino también obtener cookies de sesión o tokens de sesión que pueden usar para futuros inicios de sesión.

¿Con qué frecuencia los piratas informáticos omiten la autenticación multifactor?

Si está siguiendo las noticias de ciberseguridad, es posible que haya notado que los investigadores informan nuevos ataques a los sistemas de autenticación multifactor de vez en cuando. También puede haber leído que no hay información estadística sobre tales ataques, ya que rara vez ocurren. Hay un par de razones para ello. En primer lugar, a pesar de las recomendaciones de los expertos en ciberseguridad para usar la autenticación multifactor, todavía hay muchos usuarios que no se molestan en habilitarla. Es decir, los ciberdelincuentes no tienen que atacar cuentas protegidas con medidas de seguridad, ya que hay muchos objetivos menos protegidos. En segundo lugar, piratear una cuenta con autenticación de múltiples factores no es tan fácil como piratear una cuenta protegida solo por una contraseña. Tales ataques requieren más tiempo, dinero y herramientas de piratería más avanzadas. En otras palabras, si bien atacar la cuenta de una empresa que está muy protegida podría ser más gratificante, a muchos piratas informáticos les resulta más fácil y rentable atacar objetivos más débiles.

¿Sigue siendo recomendable utilizar la autenticación multifactor?

En resumen, la respuesta es absolutamente sí. Aunque la autenticación multifactor puede no proteger las cuentas a veces, sigue siendo su mejor opción para protegerse en línea. Como se mencionó anteriormente, tales ataques rara vez ocurren ya que muchos cibercriminales eligen objetivos más accesibles. Naturalmente, si más usuarios comienzan a usar la autenticación multifactor, los piratas informáticos pueden no tener otra opción que atacar las cuentas protegidas con ella en el futuro. Sin embargo, por ahora, las capas de seguridad adicionales de la autenticación multifactor pueden proteger contra ataques de phishing tradicionales y otros ataques que fueron diseñados solo para cuentas protegidas con contraseña.

¿Es necesaria una contraseña segura si habilita la autenticación multifactor?

Por último, puede preguntarse si tiene algún sentido usar una contraseña segura si habilita la autenticación multifactor. De nuevo, la respuesta sería sí. Cuando se trata de proteger la información personal, su cuenta bancaria o cualquier otra cosa sensible que los piratas informáticos puedan encontrar en sus cuentas, debe aprovechar todas las medidas de seguridad que pueda emplear. Además, todavía hay sitios web, plataformas y aplicaciones que no proporcionan autenticación multifactor. En tales casos, la seguridad de sus cuentas puede depender de la contraseña que configuró.

Sin duda, la forma más fácil de crear contraseñas seguras y asegurarse de que nunca las olvidará es emplear un administrador de contraseñas. Para asegurarse de que sus credenciales de inicio de sesión también estén protegidas, recomendamos utilizar un administrador de contraseñas dedicado y no funciones integradas que vienen con los navegadores. Si desea una herramienta que pueda garantizar la seguridad y proporcionar muchas funciones útiles de forma gratuita, le sugerimos que pruebe Cyclonis Password Manager . Funciona en todos los principales sistemas operativos. Además, puede generar contraseñas seguras y recordarlas por usted, así como iniciar sesión automáticamente en sus cuentas. Para conocer todas las características que puede ofrecer, debe seguir leyendo aquí .

En general, incluso si se puede omitir la autenticación multifactor, sigue siendo la mejor manera de proteger las cuentas. Por supuesto, hay muchas opciones de autenticación multifactor, y algunas son más seguras que otras. Por lo tanto, si puede elegir, debe investigar todas las opciones disponibles y elegir la que se considere más fuerte. Además, en lugar de depender ciegamente de capas de seguridad adicionales, nunca debe perder la guardia y estar atento a los sitios web de phishing, así como asegurarse de que los piratas informáticos no puedan intercambiar fácilmente su tarjeta SIM. Además, nunca está de más estar al tanto de las noticias de seguridad cibernética y aprender a evitar ser víctima de las últimas estafas.