Los principales métodos que usan los cibercriminales para burlar la autenticación en dos pasos

La autenticación en dos pasos, o de dos factores, es una de las medidas de protección más populares en la actualidad para evitar que las credenciales de acceso a cuentas en línea queden expuestas a merced de los 'hackers' o cibercriminales.

A pesar de que estos mecanismos logran bloquear alrededor del 99,99 por ciento de los ataques automatizados en las cuentas que lo tienen activado, los cibercriminales ya han encontrado formas de burlarlos, como ha alertado Panda en un comunicado.

Aunque no es tarea fácil, algunos 'hackers' lo están consiguiendo interceptando los códigos de un solo uso que se envían en forma de SMS al 'smartphone' del usuario. Por ejemplo, se ha demostrado que mediante estafas de SIM Swapping (intercambio de SIM) es posible eludir la verificación en dos pasos.

Este método implica que un atacante convenza al proveedor de servicios móviles de que él es la víctima y luego solicite que el número de teléfono del propietario se cambie a un dispositivo de su elección.

No se trata del único método para vulnerar la autenticación de dos factores, ya que los ciberdelincuentes han ideado formas como las herramientas de proxy inverso o los ataques mediante la Google Play Store.

Los códigos de un solo uso basados en SMS pueden ser comprometidos a través de herramientas de proxy inverso, como Modlishka. Un proxy inverso es un tipo de servidor que recupera recursos en nombre de un cliente desde uno o más servidores distintos. Estos recursos se devuelven después al cliente como si se originaran en ese servidor web.

Pero algunos 'hackers' lo están modificando para reconducir el tráfico a páginas de inicio de sesión y a operaciones de 'phishing'. En esos casos, el 'hacker' intercepta la comunicación entre un servicio auténtico y una víctima, y rastrea (y registra) las interacciones de las víctimas con el servicio, incluidas las credenciales de inicio de sesión.

Asimismo, los cibercriminales han ideado otras formas de sortear la protección de dos factores mediante nuevos ataques basados en SMS, como uno que se vale de una función de Google Play para instalar automáticamente apps de la web en móviles Android.

De esta manera, el atacante obtiene acceso a las credenciales para iniciar sesión en la cuenta de Google Play en un portátil (aunque en teoría el usuario tiene que recibir un aviso en su smartphone), para después operar en el teléfono cualquier aplicación que desee.

Una variante similar implica el uso de una aplicación especializada para sincronizar las notificaciones del usuario en diferentes dispositivos. Esto permite a los atacantes instalar una aplicación de duplicación de mensajes y, una vez instalada, puede intentar convencer al usuario de que habilite los permisos necesarios para que la app funcione correctamente.

Aunque deben cumplirse varias condiciones para que los ataques mencionados funcionen, estos demuestran vulnerabilidades en los métodos de identificación de dos pasos basados en SMS, así como que estos ataques no requieren capacidades técnicas de alto nivel, como ha advertido Panda.