Un malware en Android consigue saltarse la autenticación de doble factor obteniendo los códigos SMS, desvela una investigación

Un malware en Android consigue saltarse la autenticación de doble factor obteniendo los códigos SMS, desvela una investigación
19 comentarios Facebook Twitter Flipboard E-mail

La autenticación de doble factor es una de las medidas más relevantes que podemos tomar a la hora de proteger los datos. Mediante ella se requiere de una segunda confirmación aparte de la contraseña a la hora de realizar un inicio de sesión. Ahora bien, no significa que sea impenetrable. Una nueva investigación refleja cómo un grupo de hackers ha creado un malware capaz de burlar este método de seguridad.

La investigación ha sido publicada por la empresa de seguridad Check Point, en ella recopilan una serie de herramientas utilizadas por un grupo de hackers iraníes para obtener acceso a dispositivos de sus víctimas. Si bien no se sabe la identidad exacta de este grupo, creen que está asociado al gobierno del país al tener como objetivos diferentes grupos minoritarios opositores al gobierno. Entre estas herramientas de malware, es especialmente relevante la que permite saltarse el método 2FA. En febrero apareció otro malware similar que accedía a la app de autenticación de doble factor de Google.

Google

Puerta trasera y reenvío de SMSs

Según detallan, se trata de un malware diseñado para dispositivos Android que permite crear una puerta trasera en los teléfonos. Mediante la introducción de este malware en los dispositivos de las víctimas, los hackers podían obtener la lista de contactos o los mensajes SMS enviados y recibidos, así como grabaciones hechas con el micrófono sin permiso o apertura de páginas web falsas.

Con estas capacidades de control de un dispositivo el grupo puede conseguir saltarse la autenticación de doble factor de forma relativamente sencilla. En líneas generales, la autenticación en dos pasos envía un SMS al usuario cuando va a iniciar sesión y debe confirmar el código de ese SMS en el inicio de sesión. El código se envía a un número de teléfono que el usuario ha indicado previamente. Es una medida correcta para evitar inicios de sesión no autorizados, aunque no la más efectiva de todas al demostrarse en repetidas ocasiones que se pueden interceptar SMSs.

Token

Lo que parece ser que hace el malware encontrado por Check Point es detectar y reenviar automáticamente SMSs que sean de verificación de doble factor, por ejemplo los de Google que empiezan por 'G-' o algunos de Telegram y otras redes sociales. Así mismo, también abre páginas web de phishing a las víctimas haciéndoles creer que es una web fiable. Con esto último consiguen más credenciales sin que la víctima se entere.

En este caso parece ser que se apuntaba a un grupo concreto de usuarios (opositores al régimen de Irán), pero es un aviso de que ningún método de seguridad es invulnerable. Los investigadores dicen haber encontrado el malware en una app de Suecia que enseñaba a hablantes persa las leyes de conducción en Suecia para obtener el permiso de conducir.

Por grave que suene, lo cierto es que la autenticación de doble factor sigue siendo una muy buena forma de proteger los datos y los inicios de sesión. Lo que no es tan bueno es utilizar el SMS como segundo factor, hay opciones mejores como los códigos temporales en apps de autenticación, los tokens físicos o la confirmación desde una dispositivo vinculado. Y, por supuesto, activarlo en todos los lugares posibles.

Vía | ZDNet
Más información | Check Point

Comentarios cerrados
Inicio