Sorprende descubrir que Amnistía Internacional se dedica a hacer auditorías de ciberseguridad, pero tienen un buen motivo: su participación en proyectos en Oriente medio y África ha servido para detectar que allí los hackers han puesto en problemas algunos sistemas de verificación en dos pasos (2FA, Two Factor Authentication).
Estos sistemas ofrecen una interesante capa de seguridad adicional para los usuarios, pero se ha descubierto que los hackers allí logran engañar a los usuarios con técnicas de phishing para superar la protección de los sistemas 2FA.
Las llaves USB de seguridad, la mejor opción
Usar tan solo un usuario y una contraseña para proteger nuestras cuentas en servicios web es poco recomendable, y es ahí donde la verificación en dos pasos permite usar por ejemplo el móvil como sistema para recibir un SMS e ingresar el código que se nos envía a nuestro dispositivo.
Ya comentamos como los SMS no son la mejor opción a la hora de poner en marcha un sistema de este tipo, y ahora incluso las aplicaciones móviles que generan esos tokens temporales tampoco serían del todo seguras. ¿Cuál es el problema?
En el estudio de Amnistía Internacional lo dejan claro: un atacante puede construir una página web que copie la interfaz por ejemplo de Google Drive cuando intentamos entrar a este servicio. Al hacerlo el usuario no se da cuenta de que está ingresando su usuario y contraseña en esa página, pero es que también ingresa en ella el código SMS que se le envía a su teléfono: el hacker capta todos esos datos en la página de phishing y los introduce en la página de Google Drive real, lo que le da acceso a todos nuestros datos.
Este análisis por ejemplo explicaba cómo los cibercriminales crean también réplicas de conocidos servicios en dominios que logran comprar y que se parecen mucho a los originales. Es lo que han descubierto con servicios de correo seguro como Tutanota o Protonmail.
El dominio real del primero es tutanota.com, pero los atacantes tienen el control de tutanota.org, algo peligroso porque uno pensaría que estas empresas registran el dominio .com pero a la vez hacen lo propio con otros como .org o .net, por ejemplo. En el caso de Protonmail el dominio es protonmail.ch, y los atacantes tomaron el control de protonemail.ch, que si uno no está atento puede confundir con el legítimo sitio web oficial.
Los datos revelan que este proceso se puede realizar a gran escala mediante un sistema automatizado, lo que puede convertir estos sistemas 2FA en algo poco útil para muchos usuarios. Los atacantes incluso generan alertas como las que generarían servicios como los de Google para enmascarar aún más el engaño.
Sin embargo hay una alternativa mucho más segura en este ámbito: las llaves o tokens de seguridad USB como Yubikey o Solo —Google creó la suya propia recientemente— son excelentes opciones para los usuarios. Basta con tenerlas conectadas a sus equipos para tener un mecanismo 2FA de seguridad que saldría indemne de este tipo de técnicas de phishing, ya que el sistema que valida esa conexión final es un dispositivo físico que solo está en poder de esos usuarios.
Vía | The Inquirer
Más información | Amnistía Internacional
Ver 31 comentarios
31 comentarios
amaurysv
Yo pienso que el usuario debe cuidarse, pero, lejos de complicarle las cosas al usuario, quien debe estar atento a todos estos engaños, son los bancos y sitios web. El usuario, cada día, lo que necesita es q las cosas se le simplifiquen, y yo detesto cada vez q me adicionan cosas para hacer lo q siempre he hecho con facilidad.
Hay q entender q hay muchos adultos mayores q estas cosas suponen un tremendo dolor de cabeza cada vez q le adicionan capas de seguridad a sus servicios.
punk84
Entonces la teoría es que una persona que no es capaz de distinguir entre protonmail.com y protonemail.ch va a ser capaz que de mantener una memoria USB, llevarla siempre encima sin perderla, olvidarla, romperla, que no se la roben o le den cambiazo.
No lo veo, los incautos serán incautos con contraseñas, claves, llaves, SMS, lo que sea.
Abro paraguas ;)
whisper5
Las llaves de seguridad creo que van a suponer un gran avance en seguridad cuando se utilicen masivamente.
Lo de los dominios falsos que se comenta en el artículo es en parte posible por la irresponsabilidad de las empresas legítimas, especialmente algunos bancos. Cuando el sitio web es seguro aparece un candado porque tiene instalado un certificado digital, y esto nos da seguridad, pero como se puede ver en la imagen de ejemplo del artículo, el sitio web falso también tiene candado.
Hay otro certificado digital más seguro que verifica y garantiza que la empresa que aparece en el sitio web es la que dice ser. Un ejemplo: el sitio web de US Bank, https://www.usbank.com . Se puede ver al lado del candado el texto "US Bank National Association (US)", y eso nos garantiza que la empresa detrás de ese sitio web es la que se indica. Si alguien quisiera crear un sitio web falso de ese banco nunca podría obtener este tipo de certificado digital porque nadie va a emitir un certificado que muestre el nombre de una empresa que no es quien ha obtenido el certificado digital.
Pues bien, ahora que cada lector acceda al sitio web de su banco (y de otros bancos) y seguramente se sorprenderá viendo que los sitios web tienen un certificado que no muestra un nombre de empresa al lado del candado, porque el banco correspondiente no ha comprado (¿no se lo pueden permitir?) un certificado digital más seguro, que aporta mayor seguridad y confianza a sus clientes. Luego les oyes decir a los bancos lo importante que es para ellos la seguridad de sus clientes. Qué irresponsabilidad.
Usuario desactivado
Lo que no entiendo es cómo estas webs de imitación usadas para los ataques man in the middle consiguen certificados con cadenas válidas. Si una entidad certificadora me firmara a mí (perico de los palotes) un certificado para el dominio www.gmail.conn (que está claro cuál va a ser el uso que le voy a dar), y gracias a eso robo correos y ficheros de Google Drive ni que sea de un único usuario, imagino que esa entidad recibirá una demanda multi millonaria tanto por parte de los usuarios a los que robé como por parte de Google (además de ser revocada de la cadena o eliminada de los sistemas/navegadores en caso de ser una entidad root)
Usuario desactivado
Es curioso pero cuanto mas avanzamos en el tiempo, mas inseguro me parece utilizar la informática para manejar cosas como cuentas bancarias, tarjetas de crédito, etc.
No hay sistema de seguridad que los hackers no puedan romper. Solo es cuestión de tiempo.
No pago en metálico cuando compro por internet porque no se puede, que si no...
andrechi
Y digo yo, que si se detectan muchos intentos de login desde la misma IP, es que pasa algo raro. ¿no?
asd1123345dsaa
y cómo saben los suplantadores a qué número de teléfono tienen que enviar el sms?
drkwzrd
Jorge, chapó, por el titular y por el articulo. Hace 4-5 días escribieron en genbeta uno de lo mismo, pero el tono fue totalmente sensacionalista.
Usuario desactivado
la pagina original (protonmail, gmail, etc) deberia mostrarte, además, los 3 primeros digitos (por ejemplo) de tu 2FA, lo cual es algo que sólo es capaz de hacer la página original y no la pagina phising.
Así el usuario puede introducir el resto de digitos con mayor confianza