A pesar de los intentos de asegurar las cuentas de inicio de sesión, los hackers siguen encontrando formas de interceptar los códigos enviados a través de este proceso de verificación y, por tanto, esto les permite acceder a la cuenta.

Una forma común de protección del inicio de sesión es la verificación de dos factores, que pide un código enviado al teléfono o al correo electrónico. Se trata de una forma relativamente eficaz de protegerse contra los ciberdelincuentes. De hecho, la autenticación impide el 99,99% de los ataques automáticos.

El software de antivirus Panda ha descubierto que los hackers siguen encontrando formas de entrar en las cuentas. Por ejemplo, algunos ciberdelincuentes pueden interceptar los códigos que se envían a través de SMS a un smartphone. Además, a través de las estafas de SIM Swapping, se puede saltar la verificación en dos pasos. Durante este proceso, el pirata informático convence al proveedor de servicios móviles de que él es el propietario y luego solicita el número de teléfono de la víctima real. El número de teléfono puede entonces cambiarse a otro dispositivo.

Otro método de hackeo implica el uso de herramientas de proxy inverso, como Modlishka. Este tipo de herramienta obtiene recursos para el usuario desde una variedad de servidores. Después, los recursos se devuelven al cliente como si procedieran del servidor web de origen. En cambio, los atacantes pueden modificarla para redirigir el tráfico a páginas de acceso. Así pueden interrumpir la comunicación del usuario con el servicio. Como resultado, el hacker obtiene acceso a la información de inicio de sesión.

Otros ciberdelincuentes han descubierto formas de utilizar los ataques basados en SMS, por ejemplo a través de Google Play. Por ejemplo, una función de Google Play permite a los usuarios instalar automáticamente aplicaciones en su teléfono Android desde la web. A continuación, el hacker puede acceder a las credenciales de inicio de sesión de la cuenta de Google Play y manejar las aplicaciones en el teléfono.

Los atacantes también han utilizado una aplicación especial que sincroniza las notificaciones del usuario a través de diversos dispositivos. Como te puedes imaginar, esto permitiría al ciberdelincuente recibir los códigos de verificación una vez instalada la aplicación en el dispositivo.

Aunque hay una variedad de pasos que entrarían en un ciberataque con una verificación de dos factores, es importante ser consciente de la posibilidad. Asegúrate de cambiar tus contraseñas y hacerlas complicadas para limitar los ataques y desconfía en todo momento de los comportamientos sospechosos. En general, la verificación en dos pasos funciona para asegurar aún más tus cuentas, pero debemos tener en cuenta que no funciona el 100% de las veces.

La Universidad Internacional Iberoamericana (UNINI Puerto Rico) ofrece diversos cursos para aprender más sobre ciberseguridad y tecnología. Uno de estos programas es la Maestría en Dirección Estratégica con Especialidad en Tecnologías de la Información.

Fuente: Así de fácil es burlar la autentificación en dos pasos   

Foto: Todos los derechos reservados.