La autenticación de dos factores (2FA) ya no es una solución de seguridad infalible. Foto ilustrativa.
Nueva forma de ataque
La autenticación de dos factores (2FA) se ha convertido en una función de seguridad estándar en ciberseguridad. Requiere que los usuarios verifiquen su identidad con un segundo paso de autenticación, generalmente una contraseña de un solo uso (OTP) enviada por mensaje de texto, correo electrónico o aplicación de autenticación. Esta capa adicional de seguridad está diseñada para proteger la cuenta del usuario incluso si le roban la contraseña.
Si bien la 2FA es ampliamente adoptada por muchos sitios web y requerida por las organizaciones, recientemente los expertos en ciberseguridad de Kaspersky han descubierto ataques de phishing utilizados por ciberdelincuentes para eludir la 2FA.
En consecuencia, los ciberatacantes han optado por una forma más sofisticada de ciberataque, combinando el phishing con bots de OTP automatizados para engañar a los usuarios y obtener acceso no autorizado a sus cuentas. En concreto, los estafadores engañan a los usuarios para que revelen estas OTP y así evadir las medidas de protección de la 2FA.
Los ciberdelincuentes combinan el phishing con bots de contraseña de un solo uso (OTP) automatizados para engañar a los usuarios y obtener acceso no autorizado a sus cuentas. Foto ilustrativa.
Incluso los bots OTP, una herramienta sofisticada, son utilizados por estafadores para interceptar códigos OTP mediante ataques de ingeniería social. Los atacantes suelen intentar robar las credenciales de inicio de sesión de las víctimas mediante métodos como el phishing o la explotación de vulnerabilidades de datos. Luego, inician sesión en la cuenta de la víctima, lo que activa el envío de códigos OTP a su teléfono.
A continuación, el bot OTP llamará automáticamente a la víctima, haciéndose pasar por un empleado de una organización de confianza, utilizando un guion de conversación preprogramado para convencerla de que revele el código OTP. Finalmente, el atacante recibe el código OTP a través del bot y lo utiliza para obtener acceso no autorizado a la cuenta de la víctima.
Los estafadores suelen preferir las llamadas de voz a los mensajes de texto porque las víctimas suelen responder con mayor rapidez a este método. Por ello, los bots de OTP simulan el tono y la urgencia de una llamada humana para generar confianza y persuasión.
Los estafadores controlan los bots OTP mediante paneles en línea dedicados o plataformas de mensajería como Telegram. Estos bots también incluyen diversas funciones y planes de suscripción que permiten a los atacantes operar. Los atacantes pueden personalizar las funciones del bot para suplantar la identidad de organizaciones, usar varios idiomas e incluso elegir un tono de voz masculino o femenino. Las opciones avanzadas incluyen la suplantación de número de teléfono, que simula el número de teléfono de la persona que llama pertenece a una organización legítima para engañar a la víctima de forma sofisticada.
A medida que la tecnología avanza, mayor es la exigencia de protección de cuentas. Foto ilustrativa.
Para usar un bot de OTP, el estafador primero debe robar las credenciales de inicio de sesión de la víctima. Suelen usar sitios web de phishing diseñados para parecerse a páginas de inicio de sesión legítimas de bancos, servicios de correo electrónico u otras cuentas en línea. Cuando la víctima ingresa su nombre de usuario y contraseña, el estafador recopila esta información automáticamente al instante (en tiempo real).
Entre el 1 de marzo y el 31 de mayo de 2024, las soluciones de seguridad de Kaspersky evitaron 653.088 intentos de visitar sitios web creados por kits de phishing dirigidos a bancos. Los datos robados de estos sitios web se utilizan a menudo en ataques de bots OTP. Durante el mismo período, los expertos detectaron 4.721 sitios web de phishing creados por kits destinados a eludir la autenticación de dos factores en tiempo real.
No cree contraseñas comunes
Olga Svistunova, experta en seguridad de Kaspersky, comentó: «Los ataques de ingeniería social se consideran métodos de fraude extremadamente sofisticados, especialmente con la aparición de bots OTP capaces de simular legítimamente llamadas de representantes de servicio. Para mantenerse alerta, es importante ser precavido y cumplir con las medidas de seguridad».
Los hackers simplemente usan algoritmos de predicción inteligentes para descifrar contraseñas fácilmente. Foto ilustrativa.
Dado que, según el análisis de 193 millones de contraseñas realizado por expertos de Kaspersky a principios de junio mediante algoritmos de adivinación inteligentes, estas también son contraseñas comprometidas y vendidas en la darknet por ladrones de información, el 45 % (equivalente a 87 millones de contraseñas) se puede descifrar con éxito en un minuto; solo el 23 % (equivalente a 44 millones) de las combinaciones de contraseñas se considera lo suficientemente fuerte como para resistir ataques, y descifrar estas contraseñas llevará más de un año. Sin embargo, la mayoría de las contraseñas restantes aún se pueden descifrar en un plazo de entre una hora y un mes.
Además, los expertos en ciberseguridad también revelaron las combinaciones de caracteres más utilizadas cuando los usuarios configuran contraseñas como: Nombre: "ahmed", "nguyen", "kumar", "kevin", "daniel"; palabras populares: "forever", "love", "google", "hacker", "gamer"; contraseñas estándar: "password", "qwerty12345", "admin", "12345", "team".
El análisis reveló que solo el 19 % de las contraseñas contenían una combinación de contraseñas seguras, incluyendo una palabra no incluida en el diccionario, letras mayúsculas y minúsculas, además de números y símbolos. Asimismo, el estudio también reveló que el 39 % de estas contraseñas seguras aún podían ser descifradas por algoritmos inteligentes en menos de una hora.
Curiosamente, los atacantes no necesitan conocimientos especializados ni equipos avanzados para descifrar contraseñas. Por ejemplo, un procesador dedicado para portátil puede forzar con precisión una combinación de ocho letras minúsculas o números en tan solo siete minutos. Una tarjeta gráfica integrada puede hacer lo mismo en 17 segundos. Además, los algoritmos inteligentes de adivinación de contraseñas suelen sustituir caracteres ("e" por "3", "1" por "!" o "a" por "@") y cadenas comunes ("qwerty", "12345", "asdfg").
Debes usar contraseñas con cadenas de caracteres aleatorias para que los hackers no puedan adivinarlas. Foto ilustrativa.
“Inconscientemente, las personas tienden a crear contraseñas muy simples, a menudo usando palabras del diccionario en su lengua materna, como nombres y números... Incluso las combinaciones de contraseñas seguras rara vez se desvían de esta tendencia, por lo que son completamente predecibles por los algoritmos”, afirmó Yuliya Novikova, directora de Inteligencia de Huella Digital en Kaspersky.
Por lo tanto, la solución más fiable es generar una contraseña completamente aleatoria utilizando gestores de contraseñas modernos y fiables. Estas aplicaciones pueden almacenar grandes cantidades de datos de forma segura, ofreciendo una protección completa y robusta para la información del usuario.
Para fortalecer sus contraseñas, los usuarios pueden seguir estos sencillos consejos: usar un software de gestión de contraseñas; usar contraseñas diferentes para cada servicio. De esta forma, incluso si una de sus cuentas es pirateada, las demás siguen estando seguras. Las frases de contraseña ayudan a los usuarios a recuperar sus cuentas cuando olvidan sus contraseñas; es más seguro usar palabras menos comunes. Además, pueden usar un servicio en línea para comprobar la seguridad de sus contraseñas.
Evite usar información personal, como fechas de nacimiento, nombres de familiares, mascotas o apodos, como contraseñas. Estos suelen ser los primeros datos que los atacantes intentan usar para descifrar una contraseña.
Fuente
Kommentar (0)