CONTACTANOS
Contactanos por Whatsapp

Informes

La autenticación de dos factores protege tu cuenta contra el robo hasta que tú mismo revelas la contraseña de un solo uso.

Blog Details Image

La autenticación de dos factores (2FA) mediante el empleo de contraseñas de un solo uso (OTP) ahora se considera, a menudo, como una solución universal contra el phishing, la ingeniería social, el robo de cuentas y otras amenazas cibernéticas.

Al solicitar una OTP durante el inicio de sesión, el servicio en cuestión proporciona una capa de protección adicional de verificación del usuario. Si bien el código se puede generar en una aplicación especial directamente en el dispositivo del usuario, lamentablemente pocas personas instalan y configuran una aplicación de autenticación. Por lo tanto, los sitios generalmente envían un código de verificación en forma de texto, correo electrónico, notificación push, mensaje instantáneo o incluso llamada de voz.

Este código, válido por tiempo limitado, mejora la seguridad de forma significativa. Sin embargo, no es una solución mágica: incluso con el 2FA (doble factor de autenticación), las cuentas personales siguen siendo vulnerables a los bots de OTP, un software automatizado que engaña a los usuarios para que revelen sus OTP mediante ingeniería social.

Cómo funcionan los bots de OTP

Estos bots, que se controlan a través de un panel de control en un navegador web o a través de Telegram, se hacen pasar por organizaciones legítimas, como bancos, para engañar a la víctima a fin de que revele una OTP enviada. Así es como se desarrolla:

Después de obtener las credenciales de inicio de sesión de la víctima, incluida la contraseña (más abajo te contamos cómo se hace), el estafador inicia sesión en la cuenta de la víctima y se le solicita que introduzca una OTP.

- La víctima recibe la OTP en su teléfono.

- El bot de la OTP llama a la víctima y, mediante un script de ingeniería social pregrabado, le pide que introduzca el código recibido.

- La víctima desprevenida introduce el código allí mismo en su teléfono durante la llamada.

- El código se transmite al bot de Telegram del atacante.

- El estafador obtiene acceso a la cuenta de la víctima.

La función clave del bot de OTP es llamar a la víctima y el éxito de la estafa depende de cuán persuasivo sea el bot: las OTP tienen una vida útil corta, por lo que las posibilidades de obtener un código válido durante una llamada telefónica son mucho más altas que mediante cualquier otro método. Es por eso que los bots de OTP ofrecen una gran cantidad de opciones para ajustar los parámetros de la llamada.

Para obtener una mayor viabilidad, los estafadores pueden activar la función de suplantación de identidad al especificar el número de teléfono del que parece proceder la llamada, que se muestra en el teléfono de la víctima. También pueden personalizar el idioma e, incluso, la voz del bot. Todas las voces se generan mediante IA, por lo que, por ejemplo, el bot de la OTP puede “hablar” inglés con acento indio o español castellano. Si se reenvía una llamada al correo de voz, el bot sabe que debe colgar. Además, para asegurarse de que todo esté configurado de forma correcta, los estafadores pueden verificar la configuración del bot de OTP mediante una llamada a su propio número de prueba antes de comenzar un ataque.

La víctima debe creer que la llamada es legítima, por lo que, antes de marcar el número, algunos bots de OTP pueden enviar un mensaje de texto de advertencia sobre la futura llamada. Esto relaja la vigilancia del objetivo, ya que, a primera vista, no hay aspectos sospechosos: recibe una notificación de texto del “banco” sobre una futura llamada y, unos minutos después, recibe la llamada, por lo que la víctima cree que no puede ser una estafa. Sin embargo, lo es.

Durante una llamada, puede que algunos bots soliciten, además de una OTP, otros datos como el número de tarjeta bancaria y la fecha de vencimiento, el código de seguridad o PIN, la fecha de nacimiento, los detalles del documento, etc.

Si bien los bots de OTP son herramientas efectivas para eludir la 2FA, resultan completamente inútiles sin los datos personales de la víctima. Para obtener acceso a la cuenta, los atacantes necesitan al menos el inicio de sesión, el número de teléfono y la contraseña de la víctima. Sin embargo, cuanta más información tengan sobre el objetivo (nombre completo, fecha de nacimiento, dirección, correo electrónico, datos de la tarjeta bancaria), mejor será (para ellos). Estos datos se pueden obtener de varias formas:

En la dark web. Los cibercriminales ponen a la venta bases de datos en la dark web con regularidad, lo que permite a los estafadores comprar credenciales de inicio de sesión, que incluyen contraseñas, números de tarjetas bancarias y otros datos. Si bien puede que estas no sean muy recientes, la mayoría de los usuarios, por desgracia, no cambian sus contraseñas durante años, y otros datos siguen siendo relevantes durante más tiempo. 

Mediante inteligencia de fuente abierta. A veces, las bases de datos se filtran al público en la web “normal”, pero debido a la cobertura de los medios, se vuelven obsoletas con rapidez. Por ejemplo, la práctica estándar de una empresa al descubrir una filtración de datos de un cliente es restablecer las contraseñas de todas las cuentas filtradas y solicitar a los usuarios que creen una contraseña nueva en el próximo inicio de sesión.

Mediante un ataque de phishing. Este método tiene una ventaja innegable sobre otros: se garantiza que los datos de la víctima están actualizados porque el phishing puede ocurrir en tiempo real.

Los kits de phishing (phishkits) son herramientas que permiten a los estafadores crear de forma automática sitios web falsos convincentes para recopilar datos personales. Ahorran tiempo y permiten que los delincuentes cibernéticos recopilen toda la información del usuario que necesitan en un único ataque (en cuyo caso los bots de OTP son solo una parte de un ataque de phishing).

Si la cuenta está protegida mediante una 2FA, los estafadores emitirán un comando al panel de control del kit de phishing para que se muestre una página de entrada de OTP en el sitio de phishing. Cuando la víctima introduce el código, los autores del phishing obtienen acceso completo a la cuenta real, lo que les permite, por ejemplo, vaciar las cuentas bancarias.

Sin embargo, eso no es todo. Los estafadores aprovechan la oportunidad para extraer la mayor cantidad de información personal posible y presionan al usuario para que “confirme sus credenciales” como requisito obligatorio. A través del panel de control, los atacantes pueden solicitar la dirección de correo electrónico, el número de la tarjeta bancaria y otros datos confidenciales en tiempo real. Esta información se puede utilizar para atacar otras cuentas de la víctima. Por ejemplo, podrían intentar acceder al buzón de correo de la víctima con la contraseña obtenida durante el phishing; al fin y al cabo, las personas a menudo reutilizan la misma contraseña para muchas, o incluso todas, sus cuentas. Una vez que obtienen acceso al correo electrónico, los atacantes pueden aprovechar la oportunidad al máximo: por ejemplo, cambiar la contraseña del buzón y, después de un breve análisis del contenido del buzón, solicitar un restablecimiento de contraseña para todas las demás cuentas vinculadas con esta dirección.


Noticias relacionadas