La autenticación de doble factor es una de las medidas más relevantes que podemos tomar a la hora de proteger los datos. Mediante ella se requiere de una segunda confirmación aparte de la contraseña a la hora de realizar un inicio de sesión. Ahora bien, no significa que sea impenetrable. Una nueva investigación refleja cómo un grupo de hackers ha creado un malware capaz de burlar este método de seguridad.
La investigación ha sido publicada por la empresa de seguridad Check Point, en ella recopilan una serie de herramientas utilizadas por un grupo de hackers iraníes para obtener acceso a dispositivos de sus víctimas. Si bien no se sabe la identidad exacta de este grupo, creen que está asociado al gobierno del país al tener como objetivos diferentes grupos minoritarios opositores al gobierno. Entre estas herramientas de malware, es especialmente relevante la que permite saltarse el método 2FA. En febrero apareció otro malware similar que accedía a la app de autenticación de doble factor de Google.
Puerta trasera y reenvío de SMSs
Según detallan, se trata de un malware diseñado para dispositivos Android que permite crear una puerta trasera en los teléfonos. Mediante la introducción de este malware en los dispositivos de las víctimas, los hackers podían obtener la lista de contactos o los mensajes SMS enviados y recibidos, así como grabaciones hechas con el micrófono sin permiso o apertura de páginas web falsas.
Con estas capacidades de control de un dispositivo el grupo puede conseguir saltarse la autenticación de doble factor de forma relativamente sencilla. En líneas generales, la autenticación en dos pasos envía un SMS al usuario cuando va a iniciar sesión y debe confirmar el código de ese SMS en el inicio de sesión. El código se envía a un número de teléfono que el usuario ha indicado previamente. Es una medida correcta para evitar inicios de sesión no autorizados, aunque no la más efectiva de todas al demostrarse en repetidas ocasiones que se pueden interceptar SMSs.
Lo que parece ser que hace el malware encontrado por Check Point es detectar y reenviar automáticamente SMSs que sean de verificación de doble factor, por ejemplo los de Google que empiezan por 'G-' o algunos de Telegram y otras redes sociales. Así mismo, también abre páginas web de phishing a las víctimas haciéndoles creer que es una web fiable. Con esto último consiguen más credenciales sin que la víctima se entere.
En este caso parece ser que se apuntaba a un grupo concreto de usuarios (opositores al régimen de Irán), pero es un aviso de que ningún método de seguridad es invulnerable. Los investigadores dicen haber encontrado el malware en una app de Suecia que enseñaba a hablantes persa las leyes de conducción en Suecia para obtener el permiso de conducir.
Por grave que suene, lo cierto es que la autenticación de doble factor sigue siendo una muy buena forma de proteger los datos y los inicios de sesión. Lo que no es tan bueno es utilizar el SMS como segundo factor, hay opciones mejores como los códigos temporales en apps de autenticación, los tokens físicos o la confirmación desde una dispositivo vinculado. Y, por supuesto, activarlo en todos los lugares posibles.
Vía | ZDNet
Más información | Check Point
Ver 19 comentarios
19 comentarios
messid10s
Por eso uso Apple.
innova
Existe otra vía doble autenticación por SMS en otro dispositivo móvil con otro número de línea.
El Malware no puede interceptar un mensaje que nunca llega.
chrisf22
La doble verificación por SMS fue un error desde su comienzo. Lo más preocupante y aterrador es que muchos bancos lo usan para autentificar al usuario en caso de reposición de token móvil, si logran esto te vacían la cuenta.
abc800
Curioso que cuando se trata de un malware para Android o Windows la nota sale en blog principal de Xataka, pero cuando es de iOS/MacOS no, como hace unas semanas que se coló malware en la tienda de MacOS y nunca salió la noticia aquí, solo en genbeta y applesfera y casualmente nadie comentó esas notas.
frutero
Supongo que esas son las ventajas de un sistema ultra abierto donde puedes instalar cualquier cosa que vuele por la web.