Esto es lo que hacen los hackers para eludir la doble autenticación

El sistema era sencillo. Realizábamos una operación online, con nuestro código o claves correspondientes de usuario (primera autenticación) y luego recibíamos un SMS en nuestro móvil para confirmar la compra o la operación (segunda autenticación). De este modo, el sistema nos alertaba si había una operación que desconocíamos. Parece seguro, pero los hackers han encontrado un modo de eludir la doble autenticación.

De acuerdo con cifras de Panda Security solo en un año se robaron unos 3.000 millones de combinaciones de nombres de usuario y contraseñas. Por eso, la implementación de la autenticación de dos factores (2FA) se ha venido imponiendo como una precaución necesaria. De manera general, la 2FA tiene como objetivo proporcionar una capa adicional de seguridad al sistema.

Por ahora las cifras avalaban esta medida. El problema es que, como ocurre con cualquier solución de ciberseguridad, los hackers están encontrando formas de burlarla. No es tarea fácil, pero algunos lo están consiguiendo interceptando los códigos de un solo uso que se envían en forma de SMS al smartphone del usuario. Por ejemplo, se ha demostrado que mediante estafas de SIM Swapping (intercambio de SIM) es posible eludir la 2FA; este método implica que un atacante convenza al proveedor de servicios móviles de que él es la víctima y luego solicite que el número de teléfono del propietario se cambie a un dispositivo de su elección.

Pero no es el único método. Los códigos de un solo uso basados en SMS pueden ser comprometidos a través de herramientas de proxy inverso, como Modlishka. Un proxy inverso es un tipo de servidor que recupera recursos en nombre de un cliente desde uno o más servidores distintos. Estos recursos se devuelven después al cliente como si se originaran en ese servidor Web. Pero algunos hackers lo están modificando para reconducir el tráfico a páginas de inicio de sesión y a operaciones de phishing; en esos casos, el hacker intercepta la comunicación entre un servicio auténtico y una víctima, y rastrea (y registra) las interacciones de las víctimas con el servicio, incluidas las credenciales de inicio de sesión.

Además de estas vulnerabilidades, expertos en seguridad han encontrado otros tipos de ataques contra la 2FA basados en SMS. Uno en particular aprovecha una función proporcionada en Google Play Store para instalar automáticamente aplicaciones desde la web en dispositivos Android. El atacante obtiene acceso a las credenciales para iniciar sesión en tu cuenta de Google Play en un portátil (aunque en teoría tienes que recibir un aviso a tu smartphone), para después operar en tu teléfono cualquier aplicación que desee.

¿Cómo evitarlo? Primero asegurarse que nuestra contraseña inicial no ha sido vulnerada. Son varios los programas de seguridad que nos permiten hacerlo. El uso de un gestor de contraseñas es una forma eficaz de hacer más segura la primera línea de autenticación, que es el inicio de sesión con nombre de usuario y contraseña. También es recomendable que limitemos el uso de SMS como método de 2FA. En su lugar puedes utilizar códigos de un solo uso basados en la aplicación, como por ejemplo a través de Google Authenticator. En este caso, el código se genera dentro de la aplicación en el propio dispositivo, en lugar de tener que recibirlo.