De poco (o nada) sirve la autentificación en dos pasos si tu operadora no te ofrece seguridad

De poco (o nada) sirve la autentificación en dos pasos si tu operadora no te ofrece seguridad
7 comentarios Facebook Twitter Flipboard E-mail

Utilizar la identificación en dos pasos que servicios como Gmail ofrecen es una buena forma de reforzar la seguridad de nuestras cuentas, pero eso no significa que éstas sean imposibles de comprometer. Lo hace más difícil, sí, pero no imposible. Y si no que se lo digan a Grant Blakeman, un usuario de Instagram cuyo único problema es tener una codiciada cuenta de dos caracteres (@gb).

Según explica el propio Grant, el pasado sábado alguien consiguió hacerse con su cuenta de Instagram a través de su correo Gmail, al que también perdió el acceso. Todo ello era bastante sospechoso, ya que en su cuenta de Google tenía activada la verificación en dos pasos. ¿Cómo había podido saltársela alguien? Pronto descubrió el problema: el atacante había redirigido las llamadas del móvil de Grant al suyo propio.

Un vistazo a…
¡GOOGLE DRIVE ESTÁ LLENO! Cómo liberar espacio de Gmail, Google Drive y Google Fotos XTK Basics

Por propia definición, la verificación en dos pasos consiste en identificarse con algo que sabes (tu contraseña) y algo que tienes (un código de tu móvil). Para esto último puedes utilizar una app que genera códigos, una clave que recibes por SMS o pedir a Google que te llame por teléfono para decirte, de forma hablada, el código que tienes que introducir. ¿Y si alguien consigue redirigir las llamadas a otro sitio? Pues ahí está el problema, y es que cualquiera que lo consiguiera podría acceder a la cuenta.

Grant Blakeman no tiene todavía los detalles sobre cómo ha sucedido esto, pero sí que comprobó que sus llamadas habían sido desviadas a otro teléfono desde el pasado sábado, según él mismo afirma. El cómo lo consiguieron sus atacantes es un misterio, pero esta situación nos recuerda bastante a lo que ocurrió con Mat Honan (editor de Wired) cuando, a través de ingeniería social, un atacante logró acceder a su cuenta de iTunes.

En este caso, Blakeman ya ha conseguido recuperar el acceso a sus cuentas, pero nos ha demostrado que lo único que consigue la identificación en dos pasos es evitar que el usuario final sea el eslabón más débil de la cadena de seguridad de sus datos. Esto, sin embargo, no significa que no haya otros "eslabones" fáciles de romper mediante ingeniería social, como nuestra operadora o iTunes en el caso de Honan.

Más información | @gb
Imagen | Nick Carter (CC)
Vía | @sergiocm

Comentarios cerrados
Inicio