Las ultimas noticias en tecnología, ciencia y cultura digital.

Hackear a alguien con verificación en dos pasos es más fácil de lo que parece: solo hay que ser amable

La verificación en dos pasos es el mejor sistema que tenemos para proteger nuestra identidad en Internet (por lo menos hasta que dejen de existir las contraseñas). Pero tiene un gran fallo de seguridad: la estupidez humana.

Supongamos que eres un usuario malintencionado y has obtenido la contraseña de tu víctima. No fue muy difícil: suele ser su DNI, su fecha de nacimiento, su aniversario o alguna estupidez como “qwerty”. Quizá te la dio ella misma al caer en uno de tus convincentes ataques de phishing. La cuestión es que por fin sabes su contraseña, pero la víctima tiene un segundo factor de autenticación. En este caso, un código que le llega por SMS. ¿Cómo consigues ese código? Con amabilidad y pocos escrúpulos:

Atacante: Ey, sé que no me conoces, pero hace muchos años yo tenía tu mismo número. Estoy intentando registrarme en una cuenta vieja que sigue vinculada a [este número], pero me dice que va a enviarme un código de verificación. Me gustaría saber si te parece bien que yo solicite el código y ¿tú me lo envíes por mensaje? Si prefieres no hacerlo, no hay problema.

Víctima: Ok.

Atacante: ¡Muchísimas gracias! Acabo de solicitarlo.

Víctima: 209959.

Atacante: Me has salvado la vida. Muchísimas gracias y perdona la molestia.

Víctima: De nada.

Así de fácil.

Lo que acabamos de ver es un ejemplo flagrante de ingeniería social, la práctica de obtener información confidencial mediante la manipulación del usuario. En el contexto de la seguridad informática, el usuario suele ser además el factor más débil del sistema, porque es estúpido y manipulable.

Advertisement

Pero llegar a este caso implica que se han cumplido varias condiciones, como conocer su contraseña principal y su número de teléfono. Además, el código numérico es temporal y suele caducar en unos pocos segundos, por lo que la conversación tiene que ocurrir en tiempo real.

Sin embargo, no es un ejemplo descabellado y puede servir para robar cualquier cosa: una cuenta de Google, de Amazon, de Twitter... En la mayoría de los casos, el mensaje que mandan estas compañías cuando activas la verificación en dos pasos dice algo como “tu código de verificación es 123456”, sin especificar el usuario o el email. No puedes saber si es un código para abrir tu cuenta. Por eso da tanto miedo.

Advertisement

[Rachel Tobac]

Share This Story

About the author

Matías S. Zavia

Matías tiene dos grandes pasiones: Internet y el dulce de leche

EmailTwitterPosts
PGP Fingerprint: 08B1 8FBD 5DA0 45F1 2C2D F329 BD6D 0689 6FB2 7BEBPGP Key