La verificaci√≥n en dos pasos es el mejor sistema que tenemos para proteger nuestra identidad en Internet (por lo menos hasta que dejen de existir las contrase√Īas). Pero tiene un gran fallo de seguridad: la estupidez humana.

Supongamos que eres un usuario malintencionado y has obtenido la contrase√Īa de tu v√≠ctima. No fue muy dif√≠cil: suele ser su DNI, su fecha de nacimiento, su aniversario o alguna estupidez como ‚Äúqwerty‚ÄĚ. Quiz√° te la dio ella misma al caer en uno de tus convincentes ataques de phishing. La cuesti√≥n es que por fin sabes su contrase√Īa, pero la v√≠ctima tiene un segundo factor de autenticaci√≥n. En este caso, un c√≥digo que le llega por SMS. ¬ŅC√≥mo consigues ese c√≥digo? Con amabilidad y pocos escr√ļpulos:

Atacante: Ey, s√© que no me conocesÔĽŅ, pero hace muchos a√Īos yo ten√≠a tu mismo n√ļmero. Estoy intentando registrarme en una cuenta vieja que sigue vinculada a [este n√ļmero], pero me dice que va a enviarme un c√≥digo de verificaci√≥n. Me gustar√≠a saber si te parece bien que yo solicite el c√≥digo y ¬Ņt√ļ me lo env√≠es por mensaje? Si prefieres no hacerlo, no hay problema.

Víctima: Ok.

Atacante: ¡Muchísimas gracias! Acabo de solicitarlo.

Víctima: 209959.

Atacante: Me has salvado la vida. Muchísimas gracias y perdona la molestia.

Víctima: De nada.

Así de fácil.

Lo que acabamos de ver es un ejemplo flagrante de ingenier√≠a social, la pr√°ctica de obtener informaci√≥n confidencial mediante la manipulaci√≥n del usuario. En el contexto de la seguridad inform√°tica, el usuario suele ser adem√°s el factor m√°s d√©bil del sistema, porque es est√ļpido y manipulable.

Advertisement

Pero llegar a este caso implica que se han cumplido varias condiciones, como conocer su contrase√Īa principal y su n√ļmero de tel√©fono. Adem√°s, el c√≥digo num√©rico es temporal y suele caducar en unos pocos segundos, por lo que la conversaci√≥n tiene que ocurrir en tiempo real.

Sin embargo, no es un ejemplo descabellado y puede servir para robar cualquier cosa: una cuenta de Google, de Amazon, de Twitter... En la mayor√≠a de los casos, el mensaje que mandan estas compa√Ī√≠as cuando activas la verificaci√≥n en dos pasos dice algo como ‚Äútu c√≥digo de verificaci√≥n es 123456‚ÄĚ, sin especificar el usuario o el email. No puedes saber si es un c√≥digo para abrir tu cuenta. Por eso da tanto miedo.

[Rachel Tobac]