La autenticación de dos factores parecía ser una barrera infranqueable para los hackers debido a la seguridad que promete: si la contraseña de mail se filtra e intentan ingresar, el dueño de la cuenta recibe una alerta (a través de una app o mensaje de texto) sobre un intento sospechoso de inicio de sesión. De esa forma, el poseedor de la cuenta puede decidir si autorizar o rechazar la petición.
Sin embargo, atravesamos una época dónde parece no haber límite para los piratas electrónicos. Mediante un método sofisticado de phishing, pueden vulnerar al usuario y de esa forma poder pasar sin problema la autenticación de dos factores. Las víctimas de este ataque son usuarios de Yahoo y Gmail de diversas partes del mundo.
A continuación, Michal Salat, Director de Inteligencia de Amenazas de Avast, brinda consejos para evitar sufrir hackeos de este tipo en su correo electrónico.
- ¿De qué otra manera deberían protegerse los usuarios si realmente no pueden depender de 2FA?
En este caso, el problema no reside en el proceso de autenticación de dos factores, sino en el usuario.
Este ataque es solo una versión más avanzada del phishing regular, donde los usuarios son los que entregan sus credenciales. Este ataque no solo engaña a los usuarios para que entreguen su contraseña a través de un sitio web de phishing, sino que también hace que el servicio legítimo, como Google Mail o Yahoo Mail, envíe un código de autenticación de dos factores y, posteriormente, solicite al usuario que ingrese el código en el sitio de phishing.
La autenticación de dos factores ha sido diseñada para ayudar a fortalecer las cuentas contra la reutilización de contraseñas. Si, por ejemplo, las credenciales de inicio de sesión se filtran y se usan para varias cuentas, la autenticación de dos factores puede alertar a los usuarios si alguien está tratando de usar las credenciales filtradas para iniciar sesión en una de sus cuentas. Normalmente, la autenticación de dos factores es segura, ya que los atacantes necesitan un código de token de corta duración recibido a través de una aplicación o mensaje de texto, además de las credenciales de inicio de sesión de la cuenta para acceder a dicha cuenta.
Los usuarios también pueden usar claves de hardware, como Yubikey, para protegerse. Además, deben instalar antivirus en todos sus dispositivos, para bloquear los sitios de phishing. Hoy en día, los sitios de phishing están extremadamente bien diseñados, lo que aumenta la probabilidad de que un usuario caiga en una estafa de phishing, independientemente de cuán vigilantes estén. Avast Antivirus utiliza inteligencia artificial para detectar sitios de phishing, verificando la popularidad y antigüedad de los dominios del sitio, tokens de URL y posteriormente, analizando los píxeles de la página.
- ¿Se usa la IA para esto?
La inteligencia artificial no se usa en este caso, este ataque utiliza buena automatización antigua.
3.- ¿Podemos esperar ataques similares a esto en el futuro?
Según el informe, el nivel de atención que el atacante prestó al configurar los servidores parece ser bastante bajo, utilizando, por ejemplo, el listado de directorios abiertos. Podemos esperar que el phishing de los productos adopte esta técnica pronto.
- ¿Qué tan técnico debe ser alguien para llevar a cabo este tipo de ataque de phishing? ¿Podría venderse el código en la darknet para que otros lo abusen?
Podemos esperar ver los kits de phishing vendidos o compartidos en la darknet que contienen esta función pronto, si es que aún no está disponible. Los ciberdelincuentes solo tendrían que realizar algunos pasos adicionales para crear y propagar un nuevo ataque utilizando la técnica.
