Cómo los piratas informáticos pueden eludir la autenticación de dos factores

Puede pensar que habilitar la autenticación de dos factores en su cuenta la hace 100% segura. La autenticación de dos factores(Two-factor authentication) es uno de los mejores métodos para proteger su cuenta. Pero es posible que se sorprenda al saber que su cuenta puede ser secuestrada a pesar de habilitar la autenticación de dos factores. En este artículo, le diremos las diferentes formas en que los atacantes pueden eludir la autenticación de dos factores.

Cómo los piratas informáticos pueden eludir la autenticación de dos factores

¿Qué es la autenticación(Authentication) de dos factores (2FA)?

Antes de comenzar, veamos qué es 2FA. Sabes que tienes que introducir una contraseña para iniciar sesión en tu cuenta. Sin la contraseña correcta, no puede iniciar sesión. 2FA es el proceso de agregar una capa de seguridad adicional a su cuenta. Después de habilitarlo, no puede iniciar sesión en su cuenta ingresando solo la contraseña. Tienes que completar un paso de seguridad más. Esto significa que en 2FA, el sitio web verifica al usuario en dos pasos.

Leer(Read) : Cómo habilitar la verificación en dos pasos en la cuenta de Microsoft(How to Enable 2-step Verification in Microsoft Account) .

¿Cómo funciona 2FA?

Comprendamos el principio de funcionamiento de la autenticación de dos factores. El 2FA requiere que te verifiques dos veces. Cuando ingrese su nombre de usuario y contraseña, será redirigido a otra página, donde deberá proporcionar una segunda prueba de que usted es la persona real que intenta iniciar sesión. Un sitio web puede usar cualquiera de los siguientes métodos de verificación:

OTP (contraseña de un solo uso)

Omitir OTP de autenticación de dos factores

Después de ingresar la contraseña, el sitio web le indica que se verifique ingresando la OTP enviada a su número de teléfono móvil registrado. Después de ingresar la OTP(OTP) correcta , puede iniciar sesión en su cuenta.

Notificación rápida

Omitir la notificación de solicitud de autenticación de dos factores

La notificación rápida se muestra en su teléfono inteligente si está conectado a Internet. Tienes que verificarte tocando el botón " (Yes) ". Después de eso, iniciará sesión en su cuenta en su PC.

Códigos de respaldo

Omitir el código de respaldo de autenticación de dos factores

Los códigos de respaldo(Backup) son útiles cuando los dos métodos de verificación anteriores no funcionan. Puede iniciar sesión en su cuenta ingresando cualquiera de los códigos de respaldo que ha descargado de su cuenta.

Aplicación de autenticación

Omitir la aplicación de autenticación de autenticación de dos factores

En este método, debe conectar su cuenta con una aplicación de autenticación. Siempre que desee iniciar sesión en su cuenta, debe ingresar el código que se muestra en la aplicación de autenticación instalada en su teléfono inteligente.

Hay varios métodos más de verificación que un sitio web puede usar.

Lea(Read) : Cómo agregar la verificación en dos pasos a su cuenta de Google(How To Add Two-step Verification To Your Google Account) .

Cómo los piratas informáticos pueden eludir la autenticación de dos factores(Two-factor Authentication)

Sin duda, 2FA hace que su cuenta sea más segura. Pero todavía hay muchas formas en que los piratas informáticos pueden eludir esta capa de seguridad.

1] Robo de cookies(Cookie Stealing) o secuestro de sesión(Session Hijacking)

El robo de cookies o el secuestro de sesión(Cookie stealing or session hijacking) es el método de robar la cookie de sesión del usuario. Una vez que el pirata informático logra robar la cookie de sesión, puede omitir fácilmente la autenticación de dos factores. Los atacantes conocen muchos métodos de secuestro, como fijación de sesión, rastreo de sesión, secuencias de comandos entre sitios, ataque de malware, etc. Evilginx se encuentra entre los marcos populares que los piratas informáticos usan para realizar un ataque de intermediario. En este método, el pirata informático envía un enlace de phishing al usuario que lo lleva a una página de inicio de sesión de proxy. Cuando el usuario inicia sesión en su cuenta mediante 2FA, Evilginx captura sus credenciales de inicio de sesión junto con el código de autenticación. Desde la Fiscalía(OTP)caduca después de usarlo y también es válido durante un período de tiempo determinado, no sirve de nada capturar el código de autenticación. Pero el pirata informático tiene cookies de sesión del usuario, que puede usar para iniciar sesión en su cuenta y omitir la autenticación de dos factores.

2] Generación de código duplicado

Si ha utilizado la aplicación Google Authenticator , sabe que genera nuevos códigos después de un tiempo determinado. Google Authenticator y otras aplicaciones de autenticación funcionan con un algoritmo particular. Los generadores de código aleatorio(Random) generalmente comienzan con un valor inicial para generar el primer número. Luego, el algoritmo usa este primer valor para generar los valores de código restantes. Si el pirata informático puede comprender este algoritmo, puede crear fácilmente un código duplicado e iniciar sesión en la cuenta del usuario.

3] Fuerza bruta

Brute Force es una técnica para generar todas las combinaciones de contraseñas posibles. El tiempo para descifrar una contraseña usando fuerza bruta depende de su longitud. Cuanto más larga sea la contraseña, más tiempo llevará descifrarla. En general, los códigos de autenticación tienen de 4 a 6 dígitos, los piratas informáticos pueden intentar un intento de fuerza bruta para eludir el 2FA. Pero hoy, la tasa de éxito de los ataques de fuerza bruta es menor. Esto se debe a que el código de autenticación sigue siendo válido solo por un período breve.

4] Ingeniería Social

La ingeniería social es la técnica en la que un atacante intenta engañar a la mente del usuario y lo obliga a ingresar sus credenciales de inicio de sesión en una página de inicio de sesión falsa. No importa si el atacante conoce su nombre de usuario y contraseña o no, puede eludir la autenticación de dos factores. ¿Cómo? Veamos:

Consideremos el primer caso en el que el atacante conoce su nombre de usuario y contraseña. No puede iniciar sesión en su cuenta porque ha habilitado 2FA. Para obtener el código, puede enviarle un correo electrónico con un enlace malicioso, creando en usted el temor de que su cuenta pueda ser pirateada si no toma medidas inmediatas. Cuando haga clic en ese enlace, será redirigido a la página del hacker que imita la autenticidad de la página web original. Una vez que ingrese el código de acceso, su cuenta será pirateada.

Ahora, tomemos otro caso en el que el pirata informático no conoce su nombre de usuario y contraseña. Nuevamente(Again) , en este caso, te envía un enlace de phishing y roba tu nombre de usuario y contraseña junto con el código 2FA.

5] OAuth

La integración de OAuth(OAuth) brinda a los usuarios la posibilidad de iniciar sesión en su cuenta utilizando una cuenta de terceros. Es una aplicación web de renombre que utiliza tokens de autorización para probar la identidad entre los usuarios y los proveedores de servicios. Puede considerar OAuth como una forma alternativa de iniciar sesión en sus cuentas.

Un mecanismo OAuth funciona de la siguiente manera:(OAuth)

  1. El sitio A solicita al sitio B(Site B) (por ejemplo, Facebook ) un token de autenticación.
  2. El sitio B(Site B) considera que la solicitud es generada por el usuario y verifica la cuenta del usuario.
  3. El sitio B(Site B) luego envía un código de devolución de llamada y permite que el atacante inicie sesión.

En los procesos anteriores, hemos visto que el atacante no requiere verificarse a sí mismo a través de 2FA. Pero para que este mecanismo de elusión funcione, el pirata informático debe tener el nombre de usuario y la contraseña de la cuenta de usuario.

Así es como los piratas informáticos pueden eludir la autenticación de dos factores de la cuenta de un usuario.

¿Cómo evitar la omisión de 2FA?

De hecho, los piratas informáticos pueden eludir la autenticación de dos factores, pero en cada método necesitan el consentimiento de los usuarios, que obtienen al engañarlos. Sin engañar a los usuarios, no es posible eludir 2FA. Por(Hence) lo tanto, debe cuidar los siguientes puntos:

  • Antes de hacer clic en cualquier enlace, compruebe su autenticidad. Puede hacerlo comprobando la dirección de correo electrónico del remitente.
  • Cree una contraseña segura(Create a strong password) que contenga una combinación de letras, números y caracteres especiales.
  • Use solo aplicaciones de autenticación genuinas, como el autenticador de Google , el autenticador de (Google)Microsoft , etc.
  • Descargue(Download) y guarde los códigos de respaldo en un lugar seguro.
  • Nunca confíe en los correos electrónicos de phishing que los piratas informáticos usan para engañar a las mentes de los usuarios.
  • No comparta los códigos de seguridad con nadie.
  • Configure(Setup) la clave de seguridad en su cuenta, una alternativa a 2FA.
  • Siga cambiando su contraseña regularmente.

Lea(Read) : Sugerencias para mantener a los piratas informáticos fuera de su computadora con Windows(Tips to Keep Hackers out of your Windows computer) .

Conclusión

La autenticación de dos factores es una capa de seguridad eficaz que protege su cuenta del secuestro. Los piratas informáticos siempre quieren tener la oportunidad de eludir 2FA. Si conoce los diferentes mecanismos de piratería y cambia su contraseña con regularidad, puede proteger mejor su cuenta.



About the author

Tengo experiencia en ingeniería informática y tecnología de la información, lo que me ha brindado una perspectiva única sobre las plataformas Windows 10 y 11. En particular, tengo experiencia tanto con la "Experiencia de escritorio" de Windows 10 como con el navegador Microsoft Edge. Mi experiencia con estas dos plataformas me brinda una comprensión profunda de cómo funcionan, y mi experiencia en estas áreas me permite brindar consejos confiables sobre cómo mejorarlas.



Related posts