Las contraseñas no son suficientes. El denominado «doble factor de autenticación» (2FA) es un sistema que permite aumentar la seguridad y protección de las cuentas en el momento de la acceder a una cuenta de un servicio online. En cada vez más plataformas, una vez que hemos introducido el usuario y contraseña, se permite el envío de un SMS con un código que hay que añadir para poder acceder a la cuenta. Un sistema recomendado por todos los expertos de seguridad. Pero como todo sistema, en ocasiones puede tener agujeros que los cibercriminales aprovechan.
Un sistema que añade protección, ya que el código de un solo uso nos llega al teléfono móvil, que solo podemos ver nosotros. El SMS es solo uno de los sistemas que añaden doble factor de autenticación, pero existen muchos más: como el uso de la huella dactilar u otros datos biométricos, códigos enviados a la app móvil o mediante herramientas creadas para este fin como Authenticator de Google.
El uso del SMS como doble factor es muy usado en el ámbito financiero, para asegurarse de que quien está intentando acceder a una cuenta o realizar una transacción bancaria o pago, es el propio usuario.
La firma de seguridad Kaspersky Lab ha alertado de un caso en el que clientes de un banco sufrieron un fraude online relacionado con el doble factor mediante SMS.
Según informan, el pasado mes de enero, Metro Bank del Reino Unido confirmó a la web Motherboard que algunos de sus clientes habían sufrido un fraude online mediante en el que cibercriminales habían logrado interceptar los SMS de autenticación.
La buena noticia es que según informó el propio Metro Bank, muy pocos clientes tuvieron que enfrentarse con un problema de seguridad de este tipo y ninguno de ellos sufrió pérdidas de dinero.
Se tiene constancia de que un caso similar había ocurrido unos meses antes en Alemania
Cómo se realiza el ataque: la clave está en el protocolo
«Los cibercriminales pueden acceder a los mensajes de distintas formas y una de las más extravagantes es aprovechando un error en el protocolo SS7, utilizado por las compañías de telecomunicaciones para coordinar el envío de mensajes y llamadas. A la red SS7 no le importa quién envía la solicitud, por tanto, si los ciberdelincuentes consiguen superar los sistemas de seguridad, la red seguirá sus comandos como si fueran legítimos para dirigir los mensajes y llamadas», explican desde Kaspersky.
Los expertos apuntan a que los cibercriminales obtienen el usuario y contraseña de la banca online, probablemente a través de técnicas como el phishing, el keylogger (detección de pulsaciones de teclado) o incluso troyanos bancarios.
» Una vez logradas las credenciales, los ciberdelincuentes inician sesión en la banca online y solicitan una transferencia. Actualmente, la mayoría de los bancos solicitan una confirmación adicional (doble factor de autenticación) y envían un código de verificación a la cuenta del propietario. Si el banco realiza esta verificación adicional a través de SMS, los ciberdelincuentes podrían explotar la vulnerabilidad SS7, interceptando el mensaje e introduciendo el texto», señalan los especialistas de Kaspersky.
Los bancos en este caso aceptarían la transferencia como legítima ya que la transacción se ha autorizado debidamente: con la contraseña del cliente y con el código de un solo uso.
¿Qué hacer como usuarios?
Esto no quiere decir que dejemos de usar el doble factor. Al contrario. Es un método muy útil, y seguro en la gran mayoría de las ocasiones, estos se tratan de casos aislados en los que el dinero de las víctimas finalmente no se vio comprometido.
Pero como todo, debemos añadir medidas de seguridad que eviten los posibles riesgos.
En este caso, la propia firma de seguridad recomienda usar la autenticación de doble factor siempre que sea posible, con la opción de usar las aplicaciones de autenticación cuando sea posible en lugar de los SMS.