es.phhsnews.com


es.phhsnews.com / Así es como un atacante puede eludir su autenticación de dos factores

Así es como un atacante puede eludir su autenticación de dos factores


Los sistemas de autenticación de dos factores no son tan infalibles como parecen. Un atacante no necesita realmente su token de autenticación física si pueden engañar a su compañía telefónica o al propio servicio seguro para que les deje entrar.

La autenticación adicional siempre es útil. Aunque nada ofrece la seguridad perfecta que todos deseamos, el uso de la autenticación de dos factores pone más obstáculos a los atacantes que quieren sus cosas.

Su compañía telefónica es un enlace débil

RELACIONADO: Asegúrelo utilizando dos Verificación por pasos en estos 16 servicios web

Los sistemas de autenticación en dos pasos en muchos sitios web funcionan enviando un mensaje a su teléfono a través de un mensaje de texto cuando alguien intenta ingresar. Incluso si usa una aplicación dedicada en su teléfono para generar códigos, hay una buena posibilidad de que su servicio de elección ofrezca permitir que las personas inicien sesión enviando un código de SMS a su teléfono. O bien, el servicio puede permitirle eliminar la protección de autenticación de dos factores de su cuenta después de confirmar que tiene acceso a un número de teléfono que configuró como número de teléfono de recuperación.

Todo esto suena bien. Usted tiene su teléfono celular y tiene un número de teléfono. Tiene una tarjeta SIM física dentro que lo vincula a ese número de teléfono con su proveedor de telefonía celular. Todo parece muy físico. Pero, por desgracia, su número de teléfono no es tan seguro como cree.

Si alguna vez tuvo que mover un número de teléfono existente a una nueva tarjeta SIM después de perder su teléfono o simplemente obtener uno nuevo, lo hará sepa lo que puede hacer a menudo por teléfono, o incluso en línea. Todo lo que tiene que hacer un atacante es llamar al departamento de servicio al cliente de su compañía de teléfonos celulares y hacerse pasar por usted. Necesitarán saber cuál es su número de teléfono y conocer algunos detalles personales sobre usted. Estos son los tipos de detalles, por ejemplo, el número de tarjeta de crédito, los últimos cuatro dígitos de un SSN y otros, que regularmente se filtran en grandes bases de datos y se utilizan para el robo de identidad. El atacante puede intentar que su número de teléfono se mueva a su teléfono.

Hay formas aún más fáciles. O, por ejemplo, pueden configurar el reenvío de llamadas al final de la compañía telefónica para que las llamadas de voz entrantes se reenvíen a su teléfono y no lleguen a las suyas.

Diablos, un atacante podría no necesitar acceder a su número de teléfono completo . Podrían obtener acceso a su correo de voz, intentar iniciar sesión en sitios web a las 3 a.m. y luego tomar los códigos de verificación de su buzón de voz. ¿Qué tan seguro es el sistema de correo de voz de su compañía telefónica, exactamente? ¿Qué tan seguro es su PIN de correo de voz, incluso ha establecido uno? ¡No todos lo han hecho! Y, en caso afirmativo, ¿cuánto esfuerzo le tomaría a un atacante restablecer su PIN de correo de voz llamando a su compañía telefónica?

Con su número de teléfono, todo está

RELACIONADO: Cómo evitarlo Bloquearse al usar la autenticación de dos factores

Su número de teléfono se convierte en el enlace débil, lo que le permite a su atacante eliminar la verificación en dos pasos de su cuenta, o recibir códigos de verificación en dos pasos, a través de mensajes de texto o llamadas de voz. Cuando se da cuenta de que algo anda mal, puede tener acceso a esas cuentas.

Este es un problema para prácticamente todos los servicios. Los servicios en línea no quieren que las personas pierdan el acceso a sus cuentas, por lo que generalmente le permiten omitir y eliminar esa autenticación de dos factores con su número de teléfono. Esto ayuda si ha tenido que restablecer su teléfono u obtener uno nuevo y ha perdido sus códigos de autenticación de dos factores, pero aún tiene su número de teléfono.

Teóricamente, se supone que hay mucha protección aquí. . En realidad, se trata de personas de servicio al cliente en proveedores de servicios celulares. Estos sistemas a menudo están configurados para la eficiencia, y un empleado de servicio al cliente puede pasar por alto algunas de las salvaguardas que enfrenta un cliente que parece enojado, impaciente y tiene lo que parece ser suficiente información. Su compañía telefónica y su departamento de servicio al cliente son un eslabón débil en su seguridad.

Proteger su número de teléfono es difícil. Siendo realistas, las compañías de telefonía celular deberían proporcionar más garantías para que esto sea menos arriesgado. En realidad, es probable que desee hacer algo por su cuenta en lugar de esperar a que las grandes corporaciones arreglen sus procedimientos de servicio al cliente. Algunos servicios pueden permitirle desactivar la recuperación o resetearlos a través de números de teléfono y advertirlo en contra, pero si es un sistema de misión crítica, puede elegir procedimientos de restablecimiento más seguros, como códigos de restablecimiento que puede bloquear en una caja fuerte bancaria en caso alguna vez los necesitas.

Otros procedimientos de reinicio

RELACIONADOS: Las preguntas de seguridad son inseguras: cómo proteger sus cuentas

Tampoco se trata solo de su número de teléfono. Muchos servicios le permiten eliminar esa autenticación de dos factores de otras maneras si declara que perdió el código y necesita iniciar sesión. Siempre que sepa suficientes detalles personales sobre la cuenta, es posible que pueda ingresar.

Pruébelo usted mismo: acceda al servicio que ha asegurado con autenticación de dos factores y pretenda haber perdido el código. Vea qué se necesita para ingresar. Puede que tenga que proporcionar detalles personales o responder preguntas de seguridad inseguras en el peor de los casos. Depende de cómo se configura el servicio. Es posible que pueda restablecerlo enviando un correo electrónico a un enlace a otra cuenta de correo electrónico, en cuyo caso esa cuenta de correo electrónico puede convertirse en un enlace débil. En una situación ideal, es posible que solo necesite acceder a un número de teléfono o códigos de recuperación, y, como hemos visto, la parte del número de teléfono es un enlace débil.

Aquí hay algo más que da miedo: no se trata solo de pasar por alto dos verificación de paso Un atacante podría intentar trucos similares para eludir por completo su contraseña. Esto puede funcionar porque los servicios en línea quieren garantizar que las personas puedan recuperar el acceso a sus cuentas, incluso si pierden sus contraseñas.

Por ejemplo, eche un vistazo al sistema de recuperación de cuentas de Google. Esta es una opción de último minuto para recuperar su cuenta. Si alega no conocer ninguna contraseña, eventualmente se le solicitará información sobre su cuenta, como cuando la creó y con quién se la envía frecuentemente. Un atacante que sabe lo suficiente sobre ti podría teóricamente usar procedimientos de restablecimiento de contraseña como estos para acceder a tus cuentas.

Nunca escuchamos que se abuse del proceso de recuperación de cuentas de Google, pero Google no es la única empresa con herramientas como esta. No todos pueden ser completamente infalibles, especialmente si un atacante sabe lo suficiente sobre usted.


Independientemente de los problemas, una cuenta con configuración de verificación en dos pasos siempre será más segura que la misma cuenta sin la verificación en dos pasos. Pero la autenticación de dos factores no es una panacea, como hemos visto con los ataques que abusan del mayor eslabón débil: su compañía telefónica.


Cómo configurar SmartThings Home Monitoring Kit

Cómo configurar SmartThings Home Monitoring Kit

Si desea una forma rápida y fácil de supervisar su hogar mientras está fuera, aquí le mostramos cómo configurar SmartThings Home Monitoring Kit. ¿Qué es SmartThings? SmartThings es una pequeña línea de productos de Samsung que pretende ser una forma fácil de usar para los propietarios e inquilinos por igual para vigilar su dominio mientras están lejos de casa.

(how-to)

Cómo configurar, usar y deshabilitar Siri en macOS Sierra

Cómo configurar, usar y deshabilitar Siri en macOS Sierra

A menos que sea un usuario de Mac que esté terriblemente fuera de onda, probablemente sepa que Siri ha llegado a la última versión de Apple buque insignia de escritorio OS: macOS Sierra. Afortunadamente, Siri se puede encender y apagar fácilmente o configurar a su gusto. RELACIONADO: 26 Cosas realmente útiles que puede hacer con Siri Hay muchas cosas que puede hacer con Siri, que tiene hizo su camino en el Apple TV e incluso en el Apple Watch.

(how-to)