Uno de los consejos más comunes en lo que respecta a la seguridad en Internet cuando hablamos de autenticación en webs y servicios es el uso de la verificación en dos pasos, que suele utilizar el smartphone con elemento verificador, con los SMS como principal medio para recibir una segunda clave única que dé acceso al servicio.
Sin embargo, como ya se ha demostrado en alguna otra ocasión, las medidas de seguridad "clásicas" cada vez son menos infalibles, y en este caso ocurre lo mismo. Un grupo de investigadores de Certfa Lab ha publicado un estudio en el que se explica cómo hackers iraníes, supuestamente a cargo del ejecutivo del país oriental, han atacado a funcionarios estadounidenses, periodistas y activistas.
En el ataque ha tenido mucho protagonismo, como casi siempre, el correo electrónico. Pero la parte habilitante de los hackeos, según los investigadores, está en la autenticación de doble factor, que en algunos casos puede ser muy segura, pero en otros ya no ofrece el nivel de antaño.
Los SMS de seguridad, en el punto de mira
EL grupo de hackers iraní no hacía nada demasiado nuevo. Primero investigaron el correo electrónico de los objetivos. Cuando lo tuvieron, les enviaron mensajes desde direcciones aparentemente fiables como "noreply.customermails@gmail.com" que contenían imágenes que hacían de trackers de seguimiento de apertura. De esa forma, podían monitorizar la apertura de enlaces.
Esa era otra de las claves del proceso. Los correos también contenían enlaces que llevaban a webs falsas de Gmail o Yahoo, que como es común en estos casos de phishing, parecen reales a quien no se pare a verificar su autenticidad. Al introducir sus credenciales de usuario y contraseña en los campos de estas web maliciosas, los atacantes ya podían acceder a las webs oficiales de Gmail o Yahoo con los datos de acceso.
Sin embargo, al contar muchos usuarios con verificación en dos pasos con SMS, los hackers idearon un segundo paso que también les hiciera introducir el código único que llega generalmente por SMS. Al recibirlo y poder introducirlo en la web real en un lapso breve de tiempo, las cuentas quedaron totalmente comprometidas.
La investigación también aporta el dato de que servicios como Google Authenticator también pueden caer fácilmente frente a la acción bien organizada de un grupo como el de estos hackers. Donde sí ven en Ars Technica más difícil atacar es a cuentas que utilizan llaves de seguridad USB o conectadas por Bluetooth o NFC a un terminal con el estándar U2F.
Ver 8 comentarios