Así es como un atacante puede omitir su autenticación de dos factores

Los sistemas de autenticación de dos factores no son tan infalibles como parecen. Un atacante en realidad no necesita su token de autenticación física si puede engañar a su compañía telefónica o al servicio seguro en sí para que lo permita.

Los sistemas de autenticación de dos factores no son tan infalibles como parecen. Un atacante en realidad no necesita su token de autenticación física si puede engañar a su compañía telefónica o al servicio seguro en sí para que lo permita.

La autenticación adicional siempre es útil. Aunque nada ofrece la seguridad perfecta que todos deseamos, el uso de la autenticación de dos factores presenta más obstáculos para los atacantes que desean sus cosas.

Su compañía telefónica es un enlace débil

Los sistemas de autenticación de dos pasos en muchos sitios web funcionan enviando un mensaje a su teléfono por SMS cuando alguien intenta iniciar sesión. Incluso si utiliza una aplicación dedicada en su teléfono para generar códigos, existe una buena posibilidad de que su servicio de elección ofrezca permita que las personas inicien sesión enviando un código SMS a su teléfono. O bien, el servicio puede permitirle eliminar la protección de autenticación de dos factores de su cuenta después de confirmar que tiene acceso a un número de teléfono que configuró como número de teléfono de recuperación.

Todo esto suena bien. Tiene su teléfono celular y tiene un número de teléfono. Tiene una tarjeta SIM física en su interior que lo vincula a ese número de teléfono con su proveedor de telefonía celular. Todo parece muy físico. Pero, lamentablemente, su número de teléfono no es tan seguro como cree.

Si alguna vez ha necesitado mover un número de teléfono existente a una nueva tarjeta SIM después de perder su teléfono o simplemente obtener una nueva, sabrá lo que a menudo puede hacer completamente por teléfono, o tal vez incluso en línea. Todo lo que un atacante tiene que hacer es llamar al departamento de servicio al cliente de su compañía de teléfonos celulares y pretender ser usted. Necesitarán saber cuál es su número de teléfono y conocer algunos detalles personales sobre usted. Estos son los tipos de detalles, por ejemplo, número de tarjeta de crédito, últimos cuatro dígitos de un SSN y otros, que se filtran regularmente en grandes bases de datos y se utilizan para el robo de identidad. El atacante puede intentar mover su número de teléfono a su teléfono.

Hay formas aún más fáciles. O, por ejemplo, pueden configurar el desvío de llamadas al final de la compañía telefónica para que las llamadas de voz entrantes se desvíen a su teléfono y no lleguen al suyo.

Diablos, un atacante podría no necesitar acceso a tu número de teléfono completo. Podrían obtener acceso a su correo de voz, intentar iniciar sesión en los sitios web a las 3 a.m. y luego obtener los códigos de verificación de su buzón de voz. ¿Qué tan seguro es exactamente el sistema de correo de voz de su compañía telefónica? ¿Qué tan seguro es su PIN de correo de voz? ¿Ha configurado uno? ¡No todos lo han hecho! Y, si es así, ¿cuánto esfuerzo le tomaría a un atacante restablecer el PIN de su correo de voz llamando a su compañía telefónica?

Con su número de teléfono, todo ha terminado

Su número de teléfono se convierte en el enlace débil, lo que le permite a su atacante eliminar la verificación en dos pasos de su cuenta, o recibir códigos de verificación en dos pasos, a través de SMS o llamadas de voz. Cuando te das cuenta de que algo está mal, pueden tener acceso a esas cuentas.

Este es un problema para prácticamente todos los servicios. Los servicios en línea no quieren que las personas pierdan el acceso a sus cuentas, por lo que generalmente le permiten omitir y eliminar esa autenticación de dos factores con su número de teléfono. Esto ayuda si ha tenido que restablecer su teléfono u obtener uno nuevo y ha perdido sus códigos de autenticación de dos factores, pero aún tiene su número de teléfono.

Teóricamente, se supone que hay mucha protección aquí. En realidad, se trata de personas de servicio al cliente en proveedores de servicios celulares. Estos sistemas a menudo están configurados para la eficiencia, y un empleado de servicio al cliente puede pasar por alto algunas de las garantías que enfrenta un cliente que parece enojado, impaciente y tiene lo que parece ser suficiente información. Su compañía telefónica y su departamento de servicio al cliente son un eslabón débil en su seguridad.

Proteger su número de teléfono es difícil. Siendo realistas, las compañías de teléfonos celulares deberían proporcionar más garantías para que esto sea menos riesgoso. En realidad, es probable que desee hacer algo por su cuenta en lugar de esperar a que las grandes corporaciones arreglen sus procedimientos de servicio al cliente. Algunos servicios pueden permitirle deshabilitar la recuperación o restablecer mediante números de teléfono y advertirlo profusamente, pero, si se trata de un sistema de misión crítica, es posible que desee elegir procedimientos de restablecimiento más seguros como códigos de restablecimiento que puede bloquear en una bóveda bancaria en caso de que alguna vez los necesitas.

Otros procedimientos de reinicio

Tampoco se trata solo de su número de teléfono. Muchos servicios le permiten eliminar esa autenticación de dos factores de otras maneras si afirma que ha perdido el código y necesita iniciar sesión. Siempre y cuando conozca suficientes detalles personales sobre la cuenta, puede ingresar.

Pruébelo usted mismo: vaya al servicio que ha asegurado con autenticación de dos factores y simule que ha perdido el código.Vea lo que se necesita para ingresar. Es posible que tenga que proporcionar datos personales o responder «preguntas de seguridad» inseguras en el peor de los casos. Depende de cómo esté configurado el servicio. Puede restablecerlo enviando un enlace por correo electrónico a otra cuenta de correo electrónico, en cuyo caso esa cuenta de correo electrónico puede convertirse en un enlace débil. En una situación ideal, es posible que solo necesite acceso a un número de teléfono o códigos de recuperación y, como hemos visto, la parte del número de teléfono es un enlace débil.

Aquí hay algo más aterrador: no se trata solo de pasar por alto la verificación en dos pasos. Un atacante podría intentar trucos similares para evitar su contraseña por completo. Esto puede funcionar porque los servicios en línea quieren garantizar que las personas puedan recuperar el acceso a sus cuentas, incluso si pierden sus contraseñas.

Por ejemplo, eche un vistazo al sistema de recuperación de cuentas de Google. Esta es una última opción para recuperar su cuenta. Si afirma que no conoce ninguna contraseña, eventualmente se le pedirá información sobre su cuenta, como cuando la creó y a quién envía correos electrónicos con frecuencia. Un atacante que sepa lo suficiente sobre usted podría utilizar teóricamente procedimientos de restablecimiento de contraseña como estos para obtener acceso a sus cuentas.

Nunca hemos oído hablar del abuso del proceso de recuperación de cuenta de Google, pero Google no es la única compañía con herramientas como esta. No todos pueden ser completamente infalibles, especialmente si un atacante sabe lo suficiente sobre usted.

Cualesquiera que sean los problemas, una cuenta con configuración de verificación en dos pasos siempre será más segura que la misma cuenta sin verificación en dos pasos. Pero la autenticación de dos factores no es una bala de plata, como hemos visto con los ataques que abusan del enlace débil más grande: su compañía telefónica.

Rate article
labsfabs.com
Add a comment