Cabecera-v2-web.jpg

Con ingenierí­a social buscan romper autenticación de doble factor


Una de las medidas de seguridad más recientes y eficaces para proteger nuestras cuentas online de accesos no autorizados es la doble autenticación. Esta medida de seguridad se basa en proteger nuestras cuentas con algo que sabemos (nuestra contraseña) y, a la vez, con algo que no sabemos, pero sí­ tenemos: un código aleatorio. De esta manera, si alguien se hace con nuestra contraseña, no podrá conseguir entrar sin el correspondiente código, el cual recibimos en nuestro smartphone en el momento de iniciar sesión.

Siempre se ha dicho que una de las mayores vulnerabilidades de los sistemas informáticos es el propio factor humano, y una vez más es así­. Un grupo de piratas informáticos han empezado a llevar a cabo una campaña de ingenierí­a social, probablemente la más perfecta vista hasta ahora, de manera que han logrado incluso evadir la doble autenticación con la que Google protege sus cuentas.

Esta nueva técnica de ataque se basa en enviar un SMS previo al usuario donde se le indica que se ha detectado actividad sospechosa en su cuenta y se le pide que conteste al SMS con el código de 6 dí­gitos que le llegará en unos segundos (el código de la 2FA) de manera que su cuenta no sea bloqueada.

Cuando el usuario cae en la trampa y enví­a el mensaje, los piratas informáticos se hacen con el código de la doble autenticación, el cual les brinda acceso completo a la cuenta de la ví­ctima.

La doble autenticación es segura, pero la ingenierí­a social expone su seguridad

Por el momento, ningún pirata informático ni experto de seguridad ha conseguido romper esta medida de seguridad, sin embargo, estos nuevos ataques de ingenierí­a social son los más complejos vistos hasta ahora. Además, para poder llevar a cabo este ataque informático los atacantes deben conocer tanto la cuenta de Google como el número de teléfono de la ví­ctima, aunque esto no es algo demasiado complicado debido a las redes sociales, incluso al gran número de datos filtrados que circula por la Deep Web.

Por suerte, Alex MacCaw, cofundador de Clearbit y quien ha descubierto y hecho público este nuevo vector de ataque informático, es capaz de reconocer sin problemas estos ataques de ingenierí­a social, sin embargo, no todos los usuarios son capaces de hacerlo y, gracias a que el SMS está bastante trabajado (incluso está dirigido personalmente a la ví­ctima) es probable que muchas ví­ctimas no sean capaces de ver la estafa, piensen que la estafa es real y manden a los piratas informáticos el código de la 2FA que les brinde acceso a la cuenta.



Fuente: redeszone.net


pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tencnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11