Los Riesgos de la Autenticación con Doble Factor
La realidad detrás del uso del doble factor y cómo ha permitido numerosas vulnerabilidades
Los ciberataques registrados en los últimos años han expuesto numerosos agujeros en la seguridad incluso en las plataformas de los gigantes de la industria tecnológica mundial. Las vulnerabilidades han afectado tanto a servicios de redes sociales reputados, entre ellos LinkedIn o Twitter, como a algunas de las más populares casas de cambio de criptomonedas (Exchanges) como el caso de CoinCheck o los repetidos ataques a Mt. Gox.
Parece que nadie está a salvo del hackeo o ciberataque, ni siquiera las empresas valuadas en cientos de millones.
El creciente aumento de los ataques en el mundo digital ha elevado al método del doble factor de autenticación (2FA en inglés) al podio de las soluciones de seguridad, como si se tratase de la píldora “mágica” para salvaguardar nuestras cuentas en línea. En consecuencia, el 2FA se ha extendido a todas las plataformas en línea y servicios que usamos, entre ellos Google, Facebook y Twitter entre muchos otros.
Sin embargo, la seguridad que este método provee ante hackers se debilita mientras desarrollan nuevas formas de infiltrar sistemas a gran escala y bases de datos.
¿Cuál es el riesgo de depender del doble factor de seguridad?
Como se cuenta en este caso, David fue víctima de un ataque invasivo en su teléfono que afectó a sus cuentas personales de Google, Twitter y Coinbase a pesar de que tenía activado el doble factor de seguridad en su dispositivo móvil y de usar una aplicación de autenticación llamada Authy. A pesar de sus esfuerzos, perdió todo acceso a toda su identidad digital.
Esta historia no es única en la realidad que vivimos en el entorno digital actual. La entrada en escena del trading de criptomonedas y el uso de wallets ha convertido a los usuarios de cripto en objetivos destacados. Los datos indican que muchos usuarios han reportado haber perdido acceso a sus cuentas incluso cuando el doble factor está activo. Incluso un banco alemán no evitó ser víctima de un ataque de doble capa que abusaba de su implementación de doble factor a través de la red móvil.
¿Por qué está Fallando el 2FA como Herramienta de Seguridad?
Para entender correctamente por qué el 2FA está fallando es importante entender la interacción entre los componentes que forman el mecanismo a través del cual las identidades son autenticadas. Los dos factores principales en este proceso suelen conocerse como la contraseña de usuario y se da por sentada asimismo la posesión del dispositivo móvil del propietario. Si algún hacker malintencionado tiene acceso a ambos factores será capaz de apropiarse de la cuenta del usuario con facilidad.
Parece difícil que alguien se haga con su contraseña y su dispositivo pero las estadísticas demuestran que los ciberdelincuentes saben cómo hacerlo.
A pesar de que usados en consonancia ambos factores aumentan considerablemente la seguridad los datos indican que no son tan seguros por cuenta propia.
A continuación, examinamos las vulnerabilidades tanto de la protección de contraseñas como de la red móvil de uso personal.
Tus datos pueden estar flotando el la Dark Web
Desde hace tiempo se sabe que las contraseñas son inseguras. El principal inconveniente de las contraseñas reside en el hecho de que pueden ser robadas sin conocimiento del usuario en todo momento ya que una contraseña no es más que una serie de caracteres que se puede copiar de un dispositivo a otro.
Según los datos del reporte de ataques realizado por Verizon en 2017 (véase original en inglés aquí) hasta el 81% de las brechas de seguridad debidas a ciberataques se debió a contraseñas débiles o robadas. Este dato muestra la frecuencia con la que los hackers buscan hacerse con contraseñas para entrar en cuentas ajenas.
Las contraseñas pueden robarse de varias formas, siendo el spear phishing una de las modalidades más populares entre los estafadores en línea actualmente para hacerse con estos datos sin conocimiento de las víctimas.
El spear phishing es una estafa de correo electrónico o comunicaciones dirigida a personas, organizaciones o empresas específicas. Aunque su objetivo a menudo es robar datos para fines maliciosos, los cibercriminales también pueden tratar de instalar un programa maligno o malware en la computadora de la víctima. Fuente: Kaspersky
El contenido malicioso lleva a la víctima por medio de un entorno conocido que inspira confianza, como es su bandeja de correos electrónicos personalizando el ataque. Además, los ciberdelincuentes se harán pasar por personas del entorno de la víctima para hacer la comunicación más creíble.
¿Dudaría Ud. de un inocente correo enviado por su abuelita? — puede que sí en caso de que ella no use el e-mail, pero ¿y si se trata de su jefe?
Según indica el Instituto SANS hasta el 95% de los ataques en el sector corporativo son debidos a un intento exitoso de spear phishing. En el entorno laboral, es complicado saberse el correo de los colegas con quienes no se interactúa habitualmente y, además, es posible tener varios correos profesionales facilitando la infiltración con esta técnica.
La prevalencia de este método demuestra que resulta factible estafar incluso a usuarios que navegan regularmente y tienen conocimiento del mundo online. En este tipo de ataques se compromete información sensible sin el conocimiento de la víctima debido a la alta sofisticación de los métodos usados.
La información robada es vendida al mejor postor en la dark web (fuera del internet de las www que conocemos) a compradores que quieren acceder a cuentas valiosas. Además del phishing, las brechas de seguridad pueden afectar a organizaciones de gran escala como es el caso de Eurostar o Reddit — estos ataques son cada vez más comunes.
Es complicado saber con certeza el número de cuentas comprometidas por medio de estas técnicas siendo posible que la información personal de cualquiera este siendo subastada en la dark web actualmente.
En un ataque que robó más de 160 millones de contraseñas y cuentas de LinkedIn, el hacker llegó a vender 117 millones de combinaciones de acceso (correos electrónicos y contraseñas) en el mercado de la dark web.
Este hecho muestra la magnitud de la debilidad de las contraseñas en lo que a protección respecta en la era digital en la que vivimos, sin importar lo fuertes que sean tus contraseñas. Incluso si utilizas combinaciones de alta seguridad o administradores de contraseñas se ha vuelto complicado defenderse de los ataques sofisticados sin desvelar información sensible por accidente a través de los métodos de phishing social o mediante los leaks que sufren las grandes compañías.
La red móvil es a menudo el punto más débil
Además, la red móvil no se diseñó inicialmente como una herramienta de seguridad. Es innegable que se ha convertido en un medio fundamental para la implementación del doble factor en años recientes. Sin embargo, debido a que el control de las cuentas móviles se realiza por medio de representantes de servicio al cliente, tan solo hace falta que una persona no siga el protocolo al pie de la letra para que una potencial víctima pierda el control de sus cuentas personales a manos de un hacker decidido. En este caso de vulneración digital, la línea de servicio al cliente de AT&T resume lo ocurrido:
El hombre al teléfono lee sus notas y explica que sí, alguien había estado llamando repetidamente al centro de atención de AT&T para intentar hacerse con el control de su teléfono pero no se le había dado acceso porque no sabía el código de acceso hasta que alguien no siguió el protocolo saltando la petición de este código.
Incluso cuando se sigue el protocolo estándar los usuarios de móviles pueden estar indefensos antes los estafadores.
En este ataque resultando en el robo de bitcoin en valor de $8.000 el usuario recibió primero el siguiente mensaje: “Está al teléfono con Verizon y se acaba de identificar con un método alternativo.” Poco después, notó que perdió acceso tanto a su cuenta de Gmail como de Coinbase — resultando ambas robadas. Después de investigar con detalle cómo sucedió este robo de su cuenta Verizon descubrió que el hacker tan solo necesitó su número de teléfono y su información de facturación para tomar el control de ésta.
Esta otra historia detallada en Wired relata cómo la víctima descubrió que tan solo hace falta la dirección de facturación y los cuatro últimos dígitos de su tarjeta de crédito para controlar una cuenta de iCloud. Después del robo de esta cuenta perdió acceso a otros servicios digitales, entre ellos Amazon, Apple, Google y Twitter — siendo todas sus cuentas robadas en esos sitios también y perdiendo para siempre el acceso a sus valiosos recuerdos archivados en su dispositivo.
Junto a las vulnerabilidades de las redes móviles saliendo a la luz en los últimos años, incluso el Instituto Nacional de Estándares y Tecnología de EE.UU. (NIST) ha declarado que ellos no utilizan los SMS para identificar a sus usuarios. Resulta evidente que es el momento adecuado para ver más allá de los métodos actuales hacia tecnología diseñada específicamente con fines de autenticación segura.
Para que el doble factor sea realmente fiable como método de seguridad mejorada resulta esencial que ambos factores involucrado en el proceso de autenticación sean fiables y robustos. La cruda realidad es que ambos factores se han vuelto cada vez más vulnerables a ataque de hackers y técnicas de phishing. Debemos pensar en nuevas maneras de llevar nuevos factores (datos biométricos) a las técnicas de ciberseguridad y al mismo tiempo proteger los datos que nos pertenecen mediante el blockchain para descentralizar el almacenamiento de datos.
Publicado originalmente en inglés por Renee Yang el 7 de enero de 2019. Traducido y adaptado al español por César Patiño.
