El doble factor de autenticación no es una garantía
- Actualidad
Se ha detectado un exploit que permite falsificar solicitudes de autenticación enviando al usuario a una página de acceso falsa para robar el nombre de usuario, contraseña y la cookie de la sesión.
También puedes leer... Privacidad y protección de datos en aplicaciones móviles |
El doble factor de autenticación, o 2FA (Two-factor authentication) es una capa extra de seguridad que se basa en algo que el usuario tiene y algo que el usuario conoce. Un ejemplo es combinar nombre de usuario o contraseña con un teléfono móvil, al que se envía una contraseña. El algo que la mayoría de los bancos utilizan cuando se hacen operaciones bancarias por internet.
Desde su aparición se ha creído que era uno de los métodos más seguros, pero ahora resulta que KnwBe4, proveedor de plataformas para simulación y formación, anuncia en un post que su Chief Hacking Officer, Kevin Mitnick ha descubierto un exploit capaz de piratear el doble factor de autenticación.
Este nuevo ataque se acerca al usuario a través del sistema del atacante con un phishing de credenciales que usa un dominio de escritura errática. Una vez que el usuario cae en la trampa de esta táctica de ingeniería social e ingresa sus credenciales, su cookie de sesión autenticada es interceptada y el ciberdelincuente puede acceder a la cuenta.
La herramienta que permite hacer esto de una manera más automatizada se llama Evilginx, y ha sido desarrollada por el investigador Kuba Gretzky. Con ella, Mitnick ha superado el doble factor de autenticación enviando a un usuario a una página de acceso falsa.
Para Stu Sjouwerman, CEO de KnowBe4, “la autenticación de doble factor pretende ser una capa adicional de seguridad, pero en este caso vemos claramente que no se puede confiar solo en ella para proteger su organización. Esto pone de relieve la necesidad de capacitación en concienciación sobre seguridad en las nuevas escuelas y simulación de phishing porque las personas son realmente su última línea de defensa”.