es.phhsnews.com


es.phhsnews.com / Así es como un atacante puede eludir su autenticación de dos factores

Así es como un atacante puede eludir su autenticación de dos factores


Los sistemas de autenticación de dos factores no son tan infalibles como parecen. Un atacante no necesita realmente su token de autenticación física si pueden engañar a su compañía telefónica o al propio servicio seguro para que les deje entrar.

La autenticación adicional siempre es útil. Aunque nada ofrece la seguridad perfecta que todos deseamos, el uso de la autenticación de dos factores pone más obstáculos a los atacantes que quieren sus cosas.

Su compañía telefónica es un enlace débil

RELACIONADO: Asegúrelo utilizando dos Verificación por pasos en estos 16 servicios web

Los sistemas de autenticación en dos pasos en muchos sitios web funcionan enviando un mensaje a su teléfono a través de un mensaje de texto cuando alguien intenta ingresar. Incluso si usa una aplicación dedicada en su teléfono para generar códigos, hay una buena posibilidad de que su servicio de elección ofrezca permitir que las personas inicien sesión enviando un código de SMS a su teléfono. O bien, el servicio puede permitirle eliminar la protección de autenticación de dos factores de su cuenta después de confirmar que tiene acceso a un número de teléfono que configuró como número de teléfono de recuperación.

Todo esto suena bien. Usted tiene su teléfono celular y tiene un número de teléfono. Tiene una tarjeta SIM física dentro que lo vincula a ese número de teléfono con su proveedor de telefonía celular. Todo parece muy físico. Pero, por desgracia, su número de teléfono no es tan seguro como cree.

Si alguna vez tuvo que mover un número de teléfono existente a una nueva tarjeta SIM después de perder su teléfono o simplemente obtener uno nuevo, lo hará sepa lo que puede hacer a menudo por teléfono, o incluso en línea. Todo lo que tiene que hacer un atacante es llamar al departamento de servicio al cliente de su compañía de teléfonos celulares y hacerse pasar por usted. Necesitarán saber cuál es su número de teléfono y conocer algunos detalles personales sobre usted. Estos son los tipos de detalles, por ejemplo, el número de tarjeta de crédito, los últimos cuatro dígitos de un SSN y otros, que regularmente se filtran en grandes bases de datos y se utilizan para el robo de identidad. El atacante puede intentar que su número de teléfono se mueva a su teléfono.

Hay formas aún más fáciles. O, por ejemplo, pueden configurar el reenvío de llamadas al final de la compañía telefónica para que las llamadas de voz entrantes se reenvíen a su teléfono y no lleguen a las suyas.

Diablos, un atacante podría no necesitar acceder a su número de teléfono completo . Podrían obtener acceso a su correo de voz, intentar iniciar sesión en sitios web a las 3 a.m. y luego tomar los códigos de verificación de su buzón de voz. ¿Qué tan seguro es el sistema de correo de voz de su compañía telefónica, exactamente? ¿Qué tan seguro es su PIN de correo de voz, incluso ha establecido uno? ¡No todos lo han hecho! Y, en caso afirmativo, ¿cuánto esfuerzo le tomaría a un atacante restablecer su PIN de correo de voz llamando a su compañía telefónica?

Con su número de teléfono, todo está

RELACIONADO: Cómo evitarlo Bloquearse al usar la autenticación de dos factores

Su número de teléfono se convierte en el enlace débil, lo que le permite a su atacante eliminar la verificación en dos pasos de su cuenta, o recibir códigos de verificación en dos pasos, a través de mensajes de texto o llamadas de voz. Cuando se da cuenta de que algo anda mal, puede tener acceso a esas cuentas.

Este es un problema para prácticamente todos los servicios. Los servicios en línea no quieren que las personas pierdan el acceso a sus cuentas, por lo que generalmente le permiten omitir y eliminar esa autenticación de dos factores con su número de teléfono. Esto ayuda si ha tenido que restablecer su teléfono u obtener uno nuevo y ha perdido sus códigos de autenticación de dos factores, pero aún tiene su número de teléfono.

Teóricamente, se supone que hay mucha protección aquí. . En realidad, se trata de personas de servicio al cliente en proveedores de servicios celulares. Estos sistemas a menudo están configurados para la eficiencia, y un empleado de servicio al cliente puede pasar por alto algunas de las salvaguardas que enfrenta un cliente que parece enojado, impaciente y tiene lo que parece ser suficiente información. Su compañía telefónica y su departamento de servicio al cliente son un eslabón débil en su seguridad.

Proteger su número de teléfono es difícil. Siendo realistas, las compañías de telefonía celular deberían proporcionar más garantías para que esto sea menos arriesgado. En realidad, es probable que desee hacer algo por su cuenta en lugar de esperar a que las grandes corporaciones arreglen sus procedimientos de servicio al cliente. Algunos servicios pueden permitirle desactivar la recuperación o resetearlos a través de números de teléfono y advertirlo en contra, pero si es un sistema de misión crítica, puede elegir procedimientos de restablecimiento más seguros, como códigos de restablecimiento que puede bloquear en una caja fuerte bancaria en caso alguna vez los necesitas.

Otros procedimientos de reinicio

RELACIONADOS: Las preguntas de seguridad son inseguras: cómo proteger sus cuentas

Tampoco se trata solo de su número de teléfono. Muchos servicios le permiten eliminar esa autenticación de dos factores de otras maneras si declara que perdió el código y necesita iniciar sesión. Siempre que sepa suficientes detalles personales sobre la cuenta, es posible que pueda ingresar.

Pruébelo usted mismo: acceda al servicio que ha asegurado con autenticación de dos factores y pretenda haber perdido el código. Vea qué se necesita para ingresar. Puede que tenga que proporcionar detalles personales o responder preguntas de seguridad inseguras en el peor de los casos. Depende de cómo se configura el servicio. Es posible que pueda restablecerlo enviando un correo electrónico a un enlace a otra cuenta de correo electrónico, en cuyo caso esa cuenta de correo electrónico puede convertirse en un enlace débil. En una situación ideal, es posible que solo necesite acceder a un número de teléfono o códigos de recuperación, y, como hemos visto, la parte del número de teléfono es un enlace débil.

Aquí hay algo más que da miedo: no se trata solo de pasar por alto dos verificación de paso Un atacante podría intentar trucos similares para eludir por completo su contraseña. Esto puede funcionar porque los servicios en línea quieren garantizar que las personas puedan recuperar el acceso a sus cuentas, incluso si pierden sus contraseñas.

Por ejemplo, eche un vistazo al sistema de recuperación de cuentas de Google. Esta es una opción de último minuto para recuperar su cuenta. Si alega no conocer ninguna contraseña, eventualmente se le solicitará información sobre su cuenta, como cuando la creó y con quién se la envía frecuentemente. Un atacante que sabe lo suficiente sobre ti podría teóricamente usar procedimientos de restablecimiento de contraseña como estos para acceder a tus cuentas.

Nunca escuchamos que se abuse del proceso de recuperación de cuentas de Google, pero Google no es la única empresa con herramientas como esta. No todos pueden ser completamente infalibles, especialmente si un atacante sabe lo suficiente sobre usted.


Independientemente de los problemas, una cuenta con configuración de verificación en dos pasos siempre será más segura que la misma cuenta sin la verificación en dos pasos. Pero la autenticación de dos factores no es una panacea, como hemos visto con los ataques que abusan del mayor eslabón débil: su compañía telefónica.


Cómo desinstalar y volver a instalar las actualizaciones de Windows

Cómo desinstalar y volver a instalar las actualizaciones de Windows

Si bien la instalación de actualizaciones en Windows es un proceso sencillo, el mecanismo en segundo plano que lo gestiona es bastante complicado. También hay mucha desinformación en Internet sobre cómo lidiar con los problemas relacionados con Windows Update.Uno de los mayores errores es que todas las actualizaciones de Windows se pueden instalar a la vez simplemente eliminando la carpeta SoftwareDistribution almacenada en C: \ Windows . Es

(How-to)

¿Sufrimiento de Social Media Mania? Utilice estas herramientas para administrar todas sus cuentas desde un solo lugar

¿Sufrimiento de Social Media Mania? Utilice estas herramientas para administrar todas sus cuentas desde un solo lugar

Twittee esto, actualice eso, publique algo allí. Con todas las diferentes plataformas de medios sociales superando nuestras vidas en estos días, a veces puede parecer una hazaña imposible mantenerse al día con todas a la vez. Bueno, ahora la tarea de mantener todas tus conexiones compactadas en una sola fuente solo fue mucho más fácil de administrar, gracias a algunas aplicaciones clave y sitios web que simplifican el proceso de mantenerse en la vida social, y se aseguran de estar siempre un paso por delante de lo que está pasando en el ciclo.

(how-to)