Hackear a alguien con verificación en dos pasos es más fácil de lo que parece: solo hay que ser amable

PublishedMay 18, 2018

We may earn a commission from links on this page.

La verificación en dos pasos es el mejor sistema que tenemos para proteger nuestra identidad en Internet (por lo menos hasta que dejen de existir las contraseñas). Pero tiene un gran fallo de seguridad: la estupidez humana.

Watch

Miura 1, el primer cohete español

view video

Miura 1, el primer cohete fabricado por una empresa española, está listo para volar

Por qué tras años de desarrollo la realidad virtual sigue decepcionando (y no parece que se vaya a solucionar pronto)

November 26, 2018

Por qué la sal hace que la comida sepa mejor

December 15, 2022

Supongamos que eres un usuario malintencionado y has obtenido la contraseña de tu víctima. No fue muy difícil: suele ser su DNI, su fecha de nacimiento, su aniversario o alguna estupidez como “qwerty”. Quizá te la dio ella misma al caer en uno de tus convincentes ataques de phishing. La cuestión es que por fin sabes su contraseña, pero la víctima tiene un segundo factor de autenticación. En este caso, un código que le llega por SMS. ¿Cómo consigues ese código? Con amabilidad y pocos escrúpulos:

Atacante: Ey, sé que no me conoces, pero hace muchos años yo tenía tu mismo número. Estoy intentando registrarme en una cuenta vieja que sigue vinculada a [este número], pero me dice que va a enviarme un código de verificación. Me gustaría saber si te parece bien que yo solicite el código y ¿tú me lo envíes por mensaje? Si prefieres no hacerlo, no hay problema.
Víctima: Ok.
Atacante: ¡Muchísimas gracias! Acabo de solicitarlo.
Víctima: 209959.
Atacante: Me has salvado la vida. Muchísimas gracias y perdona la molestia.
Víctima: De nada.

Así de fácil.

Lo que acabamos de ver es un ejemplo flagrante de ingeniería social, la práctica de obtener información confidencial mediante la manipulación del usuario. En el contexto de la seguridad informática, el usuario suele ser además el factor más débil del sistema, porque es estúpido y manipulable.

Pero llegar a este caso implica que se han cumplido varias condiciones, como conocer su contraseña principal y su número de teléfono. Además, el código numérico es temporal y suele caducar en unos pocos segundos, por lo que la conversación tiene que ocurrir en tiempo real.

Sin embargo, no es un ejemplo descabellado y puede servir para robar cualquier cosa: una cuenta de Google, de Amazon, de Twitter... En la mayoría de los casos, el mensaje que mandan estas compañías cuando activas la verificación en dos pasos dice algo como “tu código de verificación es 123456”, sin especificar el usuario o el email. No puedes saber si es un código para abrir tu cuenta. Por eso da tanto miedo.

[Rachel Tobac]