TecTop
Crédito: Shutterstock
Ahora es bien sabido que los nombres de usuario y las contraseñas no son suficientes para acceder de forma segura a los servicios en línea. Un estudio reciente destacó que más del 80% de todas las infracciones relacionadas con la piratería ocurren debido a credenciales comprometidas y débiles, con tres mil millones de combinaciones de nombre de usuario / contraseña robadas solo en 2016.
Como tal, la implementación de la autenticación de dos factores (2FA) se ha convertido en una necesidad. Generalmente, 2FA tiene como objetivo proporcionar una capa adicional de seguridad al sistema de nombre de usuario / contraseña relativamente vulnerable.
Funciona tambien. Las cifras sugieren que los usuarios que habilitaron 2FA terminaron bloqueando sobre 99,9% de los ataques automatizados.
Pero al igual que con cualquier buena solución de ciberseguridad, los atacantes pueden encontrar rápidamente formas de eludirla. Pueden omitir 2FA a través de los códigos únicos enviados como SMS al teléfono inteligente de un usuario.
Sin embargo, muchos servicios en línea críticos en Australia todavía utilizan códigos de un solo uso basados en SMS, incluidos myGov y los 4 grandes bancos: ANZ, Commonwealth Bank, NAB y Westpac.
Entonces, ¿cuál es el problema con los SMS?
Proveedores importantes como Microsoft han instado a los usuarios a abandonar las soluciones 2FA que aprovechan los SMS y las llamadas de voz. Esto se debe a que los SMS son conocidos por tener una seguridad infamemente deficiente, lo que los deja expuestos a una gran cantidad de ataques diferentes.
Por ejemplo, Intercambio de SIM se ha demostrado como una forma de eludir la 2FA. El intercambio de SIM implica que un atacante convenza al proveedor de servicios móviles de la víctima de que él mismo es la víctima y luego solicita que el número de teléfono de la víctima se cambie a un dispositivo de su elección.
Los códigos de un solo uso basados en SMS también se ven comprometidos a través de herramientas fácilmente disponibles, como Modlishka aprovechando una técnica llamada proxy inverso. Esto facilita la comunicación entre la víctima y un servicio que está siendo suplantado.
Entonces, en el caso de Modlishka, interceptará la comunicación entre un servicio genuino y una víctima y rastreará y registrará las interacciones de las víctimas con el servicio, incluidas las credenciales de inicio de sesión que puedan usar).
Además de estas vulnerabilidades existentes, nuestro equipo ha encontrado vulnerabilidades adicionales en 2FA basado en SMS. Un ataque en particular explota una función proporcionada en Google Play Store para instalar automáticamente aplicaciones desde la web en su dispositivo Android.
Si un atacante tiene acceso a sus credenciales y logra iniciar sesión en su cuenta de Google Play en una computadora portátil (aunque recibirá un mensaje), puede instalar cualquier aplicación que desee automáticamente en su teléfono inteligente.
El ataque a Android
Nuestros experimentos revelaron que un actor malintencionado puede acceder de forma remota a la 2FA basada en SMS de un usuario con poco esfuerzo, mediante el uso de una aplicación popular (el nombre y el tipo se ocultan por razones de seguridad) diseñada para sincronizar las notificaciones del usuario en diferentes dispositivos.
Específicamente, los atacantes pueden aprovechar una combinación de correo electrónico / contraseña comprometida conectada a una cuenta de Google (como [email protected]) para instalar de manera nefasta una aplicación de duplicación de mensajes fácilmente disponible en el teléfono inteligente de una víctima a través de Google Play.
YubiKey, desarrollado por primera vez en 2008, es un dispositivo de autenticación diseñado para admitir contraseñas de un solo uso y protocolos 2FA sin tener que depender de 2FA basado en SMS. Crédito: Shutterstock
Este es un escenario realista, ya que es común que los usuarios usen las mismas credenciales en una variedad de servicios. Usando un administrador de contraseñas es una forma eficaz de hacer que su primera línea de autenticación (su nombre de usuario / contraseña de inicio de sesión) sea más segura.
Una vez instalada la aplicación, el atacante puede aplicar técnicas sencillas de ingeniería social para convencer al usuario de que habilite los permisos necesarios para que la aplicación funcione correctamente.
Por ejemplo, pueden hacer como si estuvieran llamando desde un proveedor de servicios legítimo para persuadir al usuario de que habilite los permisos. Después de esto, pueden recibir de forma remota todas las comunicaciones enviadas al teléfono de la víctima, incluidos los códigos de un solo uso utilizados para 2FA.
Aunque se deben cumplir múltiples condiciones para que funcione el ataque mencionado anteriormente, todavía demuestra la naturaleza frágil de los métodos 2FA basados en SMS.
Más importante aún, este ataque no necesita capacidades técnicas de alto nivel. Simplemente requiere información sobre cómo funcionan estas aplicaciones específicas y cómo usarlas de manera inteligente (junto con la ingeniería social) para apuntar a una víctima.
La amenaza es aún más real cuando el atacante es una persona de confianza (por ejemplo, un miembro de la familia) con acceso al teléfono inteligente de la víctima.
Cual es la alternativa?
Para permanecer protegido en línea, debe verificar si su línea de defensa inicial es segura. Primero verifique su contraseña para ver si está comprometida. Hay una serie de programas de seguridad que te permitirá hacer esto. Y asegúrese de utilizar una contraseña bien elaborada.
También le recomendamos que limite el uso de SMS como método 2FA si puede. En su lugar, puede utilizar códigos de un solo uso basados en aplicaciones, como a través de Google Authenticator. En este caso, el código se genera dentro de la aplicación Google Authenticator en su dispositivo, en lugar de enviarse a usted.
Sin embargo, este enfoque también puede verse comprometido por los piratas informáticos que utilizan algunos malware sofisticado. Una mejor alternativa sería utilizar dispositivos de hardware dedicados como YubiKey.
Estos son pequeños dispositivos USB (o habilitados para comunicación de campo cercano) que brindan una forma simplificada de habilitar 2FA en diferentes servicios.
Dichos dispositivos físicos deben conectarse o acercarse a un dispositivo de inicio de sesión como parte de 2FA, mitigando así los riesgos asociados con los códigos visibles de un solo uso, como los códigos enviados por SMS.
Se debe enfatizar que una condición subyacente a cualquier alternativa 2FA es que el propio usuario debe tener algún nivel de participación activa y responsabilidad.
Al mismo tiempo, los proveedores de servicios, desarrolladores e investigadores deben seguir trabajando para desarrollar métodos de autenticación más accesibles y seguros.
Esencialmente, estos métodos deben ir más allá de 2FA y hacia un entorno de autenticación de múltiples factores, donde múltiples métodos de autenticación se implementan y combinan simultáneamente según sea necesario.
Google actualiza su línea de llaves de seguridad Titan con versiones USB-A y USB-C
Este artículo se vuelve a publicar desde La conversación bajo una licencia Creative Commons. Leer el artículo original.
Citación: Cómo los piratas informáticos pueden usar aplicaciones de duplicación de mensajes para ver todos sus mensajes de texto y evitar la seguridad 2FA (2021, 16 de agosto) recuperado el 16 de agosto de 2021 de https://techxplore.com/news/2021-08-hackers-message-mirroring-apps -sms.html
Este documento está sujeto a derechos de autor. Aparte de cualquier trato justo con fines de estudio o investigación privados, no se puede reproducir ninguna parte sin el permiso por escrito. El contenido se proporciona únicamente con fines informativos.
