Atacantes lograron eludir la autenticación multifactor

Cuando de buenas prácticas para la protección de nuestra presencia en línea se trata, ustedes saben que mi principal recomendación es habilitar la autenticación multifactor (doble factor de autenticación, o autenticación de dos pasos).

Pero los atacantes siempre se las ingenian, y esta vez lograron engañar a los usuarios para hacerse del código temporal (token) necesario para completar la autenticación multifactor.

Un reporte publicado hace apenas algunas horas por Aministía Internacional muestra en detalle cómo se dieron estos ataques a cuentas de usuarios de Gmail y Yahoo, incluso a aquellos con autenticación multifactor habilitada.

Las víctimas eran dirigidas a un sitio apócrifo, idéntico al de inicio de sesión de Gmail o de Yahoo, técnica conocida como phishing. Una vez que el usuario ingresaba su dirección de e-mail y contraseña, la misma infraestructura en la que el sitio falso estaba almacenada realizaba el intento de inicio de sesión en el servicio real. Si éste requeria la utilización de un factor adicional, lo notificaba al sitio apócrifo para que éste se lo requiriera al usuario. Una vez que la víctima ingresaba el token, el atacante obtenía acceso a la cuenta real. En algunos casos se detectó incluso que el atacante había generado contraseñas de aplicación, que sirven para iniciar sesión en determinados dispositivos o programas sin necesidad de ingresar el token, lo que le permitía conservar el acceso a la cuenta de la víctima.

¿Pero qué podrían haber hecho los usuarios afectados para prevenir este tipo de ataques, o para evitar ingresar sus credenciales de inicio de sesión en un sitio apócrifo?

Mi primera recomendación es estar alerta. Las señales que nos dicen que un sitio es una imitación casi siempre están a la vista, comenzando por la dirección URL. Observen la URL en la imagen a continuación. ¿Falso, cierto?

https://www.amnesty.org/en/latest/research/2018/12/when-best-practice-is-not-good-enough/

La siguiente es que usen un administrador de contraseñas. ¡Pero Pablo, ya lo dijiste miles de veces! Sí. Y ocurre que los administradores de contraseñas como LastPass se integran muy bien con los navegadores de cualquier sistema operativo, incluso con Android y iOS, permitiéndonos identificar rápidamente si estamos en el sitio correcto o no.

Observen la siguiente imagen en la que el ícono de LastPass me indica que tengo cuatro cuentas que coinciden con el dominio accounts.google.com, y que puedo utilizar para iniciar sesión.

Ahora observen la próxima imagen. El sitio se ve idéntico al de Google, pero la URL no coincide y tampoco hay sugerencias de LastPass. Esto es lo que se denomina un non-matching site, y es una clara señal de que algo no está bien.

Si quieren leer más sobre los administradores de contraseñas les recomiendo este post de hace algunos meses.

Como ya he mencionado con anterioridad, existen factores de autenticación que no dependen de la generación de un token. El uso de una llave de autenticación, como la YubiKey de Yubico, protege al usuario de los sitios apócrifos ya que el secreto de autenticación que genera está asociado al dominio en el cual fue configurada.

Mediante el uso de criptografía de clave pública se comparan certificados entre el sitio y el dispositivo, que hacen que el secreto generado para fake-google-test-pablo.azurewebsites.net sea completamente diferente al generado para google.com.

En el puerto USB, una YubiKey -de Yubico- junto a la Feitian MultiPass de Google.

Para aprender más sobre las distintas opciones de autenticación multifactor, visiten este post.

Dejar un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.