tipos 2fa

Este es un ejemplo de los artículos que semanalmente escribo de forma exclusiva para los mecenas de la Comunidad.

Si quieres recibir contenido exclusivo como éste directamente en tu bandeja de correo, revisa las opciones de mecenazgo de esta página.

*******

Soy muy pesado, pero con estas cosas no me importa repetirme: El segundo factor de autenticación, o 2FA, o MFA como los anglosajones lo están llamando últimamente, es el sistema de seguridad que, valga la redundancia, más seguridad arroja a un sistema.

Ha demostrado ser tan útil que, de un tiempo a esta parte, ha pasado de ser algo opcional, a cada vez más obligatorio en servicios masivos como es el caso de la cuenta de Google o de Facebook.

Sencilla y llanamente, es un sistema de seguridad que habilitas una vez, y generalmente no vuelves a saber de él (a no ser que uses diferentes dispositivos y desde diferentes localizaciones). Y gracias a tenerlo habilitado, el principal riesgo global que tienen los servicios en la nube (un filtrado masivo de credenciales te afecta a ti y a varios millones más de usuarios) prácticamente no tiene impacto en la seguridad de tus cuentas, habida cuenta de que para entrar, además de ese usuario-contraseña, necesitarán el 2FA de marras, y eso requiere pasar de un ataque masivo a un ataque dirigido.

Pero claro, el 2FA magia no hace, y conforme más habitual es encontrárselo en los servicios tanto corporativos como de usuario de calle, surgen nuevas maneras de atacarlo.

Vamos a ver cómo funcionan las tres más habituales.

La clásica: Ingeniería social a la víctima

La que ya conocíamos desde hace eones es una que además sabemos que funciona en cualquier escenario: La ingeniería social.

Hablando en plata, engañar al usuario para que sea este quien nos de acceso.

Para ello, el ataque habitual ha sido el de ponerse en contacto con la persona en cuestión, haciéndose pasar por el equipo de seguridad o IT de la compañía y/o el servicio, y pedirle que «confirme» el código que le acabamos de enviar a su terminal.

En el momento en el que la víctima se lo pasa a los cibercriminales, en efecto estos acceden a la cuenta, le confirman que todo está bien, y luego ya hacen las maldades que estimen oportunas.

Contra esto, no hay suite de seguridad que te proteja. Simplemente el sentido común (si de verdad son los del departamento de IT, no van a necesitar que les pases una clave de seguridad…).

La avanzada: SIM Swapping

Otro acercamiento a posibles ataques contra un 2FA lo hemos visto últimamente con las campañas de ingeniería social que no van dirigidas directamente contra la víctima, sino contra el equipo de soporte del servicio, que normalmente se traduce en una llamada al soporte de la operadora de telecomunicaciones donde la víctima tiene su número de teléfono.

En dicha llamada, se hacen pasar por la víctima, dándole al operador los datos personales que requiera, y que previamente ha obtenido mediante una investigación OSINT (el número de teléfono, nombre y apellidos, documento de identidad o CIF, y si eso entidad bancaria), y pide un duplicado de la SIM asegurando que ha perdido su terminal, o se lo han robado.

Si cuela, los cibercriminales obtienen una SIM con el número de teléfono de la víctima, y desde ella, ya pueden acceder a todas sus cuentas bypaseando cualquier factor de autenticación que tuviera.

La actual: 2FA DDoS

A estas dos que, como decía, son relativamente conocidas, últimamente estamos viendo una tercera que parece estar funcionando genial, y que por ejemplo es la que han estado utilizando grupos de cibercriminales (EN) como Lapsus$ en los recientes ataques a grandes compañías de la talla de Microsoft o NVidia, o los rusos Cozy Bear, conocidos por el hackeo de SolarWinds.

Básicamente es una evolución de los ataques de ingeniería social que se hacían en la víctima, solo que en vez de ponerse en contacto directamente con ella, se aprovechan de que algunos 2FA únicamente requieren que se acepten desde el dispositivo de la víctima para poder acceder, e inundan a peticiones continuas hasta que la víctima, cansada de recibir notificaciones, acaba aceptándolas.

Tan sencillo como parece. Si tu smartphone de pronto te pide una y otra vez que aceptes algo, para colmo bloqueándote su uso, o molestándote a horas intempestivas con notificaciones, la mayoría de víctimas simplemente acaban aceptando.

Por supuesto, este ataque no tendría éxito si:

  • Estos 2FAs tuvieran algún sistema anti ataques de fuerza bruta, bloqueando la herramienta si, por ejemplo, haces más de tres o cinco peticiones seguidas.
  • Se utilizasen únicamente 2FAs de tokens, es decir, aquellos que requieren que metas un código creado pseudo-aleatoriamente y enviado a tu dispositivo de confianza, y no una simple notificación que debes aceptar.

Pero esto, como bien sabemos, no ocurre siempre. Sin ir más lejos, Google últimamente está recomendando migrar el ya clásico 2FA que requería que le dieras a un número en particular entre los tres o cuatro que te mostraba para acceder, a otro que simplemente te informa de que alguien está intentando entrar en tu cuenta, y te da de opción el aceptarlo o no.

Mucho más cómodo para el usuario, y también más inseguro.

De ahí que siga recomendando lo mismo de siempre. Con los 2FA, mejor utilizar aquellos basados en tokens, y que dependan de una aplicación como Google Authenticator o compañía, huyendo de aquellos basados en el envío de SMSs o notificación móvil, que como hemos visto con el ataque de SIM Swapping y este reciente de DDoS, pueden ser vulnerados.

________

Este es un ejemplo de los artículos que semanalmente escribo de forma exclusiva para los mecenas de la Comunidad.

Si quieres recibir contenido exclusivo como éste directamente en tu bandeja de correo, revisa las opciones de mecenazgo de esta página.

Articulo exclusivo PabloYglesias