Cómo pueden los piratas informáticos eludir la autenticación de dos factores
Podría pensar que habilitar la autenticación de dos factores en su cuenta la hace 100% segura. Autenticación de dos factores es una de las mejores formas de proteger su cuenta. Pero es posible que se sorprenda al saber que su cuenta puede ser pirateada a pesar de habilitar la autenticación de dos factores. En este artículo, lo guiaremos a través de las diferentes formas en que los atacantes pueden eludir la autenticación de dos factores.
¿Qué es la autenticación de dos factores (2FA)?
Antes de comenzar, echemos un vistazo a lo que es 2FA. Sabes que necesitas ingresar una contraseña para iniciar sesión en tu cuenta. Sin la contraseña correcta, no puede iniciar sesión. 2FA es el proceso de agregar una capa adicional de seguridad a su cuenta. Una vez activado, no puede iniciar sesión en su cuenta ingresando solo la contraseña. Debe realizar un paso de seguridad adicional. Esto significa que en 2FA el sitio web verifica al usuario en dos pasos.
Lirio: Cómo habilitar la verificación en dos pasos en una cuenta de Microsoft.
¿Cómo funciona 2FA?
Entendamos cómo funciona la autenticación de dos factores. 2FA requiere que se vuelva a verificar. Cuando ingrese su nombre de usuario y contraseña, será llevado a otra página, donde deberá proporcionar una segunda prueba de que usted es la persona real que intenta iniciar sesión. Un sitio web puede utilizar uno de los siguientes métodos de verificación:
OTP (contraseña de un solo uso)
Después de ingresar la contraseña, el sitio web le pedirá que se verifique ingresando la OTP enviada a su número de teléfono móvil registrado. Después de ingresar la OTP correcta, puede iniciar sesión en su cuenta.
Notificación rápida
Se muestra una notificación rápida en su teléfono inteligente si está conectado a Internet. Debes verificar tu mismo presionando el botón «sí«Botón. Después de eso, iniciará sesión en su cuenta en su PC.
Códigos de respaldo
Los códigos de reserva son útiles cuando los dos métodos de verificación anteriores no funcionan. Puede iniciar sesión en su cuenta ingresando uno de los códigos de respaldo que descargó de su cuenta.
Aplicación de autenticación
En este método, debe conectar su cuenta a una aplicación de autenticación. Cada vez que desee iniciar sesión en su cuenta, debe ingresar el código que se muestra en la aplicación de autenticación instalada en su teléfono inteligente.
Hay varios otros métodos de verificación que puede utilizar un sitio web.
Lirio: Cómo agregar la verificación en dos pasos a su cuenta de Google.
Cómo pueden los piratas informáticos eludir la autenticación de dos factores
Sin lugar a dudas, 2FA hace que su cuenta sea más segura. Pero todavía hay muchas formas en que los piratas informáticos pueden eludir esta capa de seguridad.
1]Robo de cookies o piratería de sesiones
El robo de cookies o el secuestro de sesiones es el método de robo de cookies de la sesión del usuario. Una vez que el pirata informático roba con éxito la cookie de sesión, puede eludir fácilmente la autenticación de dos factores. Los atacantes están familiarizados con muchos métodos de piratería, como la fijación de sesiones, el rastreo de sesiones, las secuencias de comandos entre sitios, los ataques de malware, etc. Evilginx es uno de los marcos populares que utilizan los piratas informáticos para realizar un ataque de intermediario. En este método, el pirata informático envía un enlace de phishing al usuario que lo lleva a una página de inicio de sesión de proxy. Cuando el usuario inicia sesión en su cuenta usando 2FA, Evilginx captura su información de inicio de sesión con el código de autenticación. Dado que la OTP caduca después de su uso y también es válida durante un cierto período de tiempo, no es necesario capturar el código de autenticación. Pero el pirata informático tiene cookies de sesión de usuario, que puede utilizar para iniciar sesión en su cuenta y evitar la autenticación de dos factores.
2]Generación de código duplicado
Si ha utilizado la aplicación Google Authenticator, sabrá que genera nuevos códigos después de un tiempo. Google Authenticator y otras aplicaciones de autenticación funcionan con un algoritmo particular. Los generadores de código aleatorio generalmente comienzan con un valor semilla para generar el primer número. Luego, el algoritmo usa este primer valor para generar los valores de código restantes. Si el pirata informático puede comprender este algoritmo, puede crear fácilmente un código duplicado e iniciar sesión en la cuenta del usuario.
3]Fuerza bruta
La fuerza bruta es una técnica para generar todas las combinaciones posibles de contraseñas. El tiempo que lleva descifrar una contraseña mediante la fuerza bruta depende de su longitud. Cuanto más larga sea la contraseña, más tardará en descifrarla. Por lo general, los códigos de acceso tienen de 4 a 6 dígitos, los piratas informáticos pueden intentar un intento de fuerza bruta de eludir 2FA. Pero hoy, la tasa de éxito de los ataques de fuerza bruta es menor. Esto se debe a que el código de autenticación solo es válido por un período breve.
4]Ingeniería social
La ingeniería social es la técnica en la que un atacante intenta engañar a la mente del usuario y obligarlo a ingresar su información de inicio de sesión en una página de inicio de sesión falsa. No importa si el atacante conoce su nombre de usuario y contraseña o no, puede omitir la autenticación de dos factores. ¿Cómo? ‘O’ ¿Qué? Vamos a ver:
Considere el primer caso en el que el atacante conoce su nombre de usuario y contraseña. No puede iniciar sesión en su cuenta porque tiene 2FA habilitado. Para obtener el código, es posible que le envíe un correo electrónico con un enlace malicioso, lo que le hará preocuparse de que su cuenta sea pirateada si no actúa de inmediato. Al hacer clic en este enlace, se le llevará a la página del pirata informático que imita la autenticidad de la página web original. Una vez que ingrese la contraseña, su cuenta será pirateada.
Ahora tomemos otro caso en el que el pirata informático no conoce su nombre de usuario y contraseña. Nuevamente, en este caso, le envía un enlace de phishing y roba su nombre de usuario y contraseña con el código 2FA.
5]OAuth
La integración de OAuth brinda a los usuarios la posibilidad de iniciar sesión en su cuenta utilizando una cuenta de terceros. Es una aplicación web de buena reputación que utiliza tokens de autorización para demostrar la identidad de los usuarios y proveedores de servicios. Puede considerar OAuth como otra forma de iniciar sesión en sus cuentas.
Un mecanismo de OAuth funciona de la siguiente manera:
- El sitio A solicita al sitio B (por ejemplo, Facebook) un token de autenticación.
- El sitio B considera que la solicitud es generada por el usuario y verifica la cuenta del usuario.
- El sitio B luego envía un código de devolución de llamada y permite que el atacante se conecte.
En los procesos anteriores, hemos visto que el atacante no necesita verificarse a sí mismo a través de 2FA. Pero para que este mecanismo de omisión funcione, el pirata informático debe tener el nombre de usuario y la contraseña de la cuenta del usuario.
Así es como los piratas informáticos pueden eludir la autenticación de dos factores de la cuenta de un usuario.
¿Cómo evitar pasar por alto 2FA?
De hecho, los piratas informáticos pueden eludir la autenticación de dos factores, pero en cada método necesitan el consentimiento de los usuarios que obtienen al engañarlos. Sin engañar a los usuarios, no es posible omitir 2FA. Por tanto, debes tener en cuenta los siguientes puntos:
- Antes de hacer clic en un enlace, verifique su autenticidad. Puede hacerlo verificando la dirección de correo electrónico del remitente.
- Cree una contraseña segura que contenga una combinación de alfabetos, números y caracteres especiales.
- Utilice solo aplicaciones de autenticación genuinas, como Google Authenticator, Microsoft Authenticator, etc.
- Descargue y guarde los códigos de respaldo en un lugar seguro.
- Nunca confíe en los correos electrónicos de phishing que utilizan los piratas informáticos para engañar a los usuarios.
- No comparta los códigos de seguridad con nadie.
- Configure la clave de seguridad en su cuenta, una alternativa a 2FA.
- Continúe cambiando su contraseña con regularidad.
Lirio: Consejos para evitar que los piratas informáticos accedan a su computadora con Windows.
Conclusión
La autenticación de dos factores es una capa de seguridad eficaz que protege su cuenta contra los piratas informáticos. Los piratas informáticos siempre quieren tener la oportunidad de eludir 2FA. Si conoce diferentes mecanismos de piratería y cambia su contraseña con regularidad, puede proteger mejor su cuenta.