{"id":30092,"date":"2024-06-13T12:11:30","date_gmt":"2024-06-13T10:11:30","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=30092"},"modified":"2024-06-13T12:11:30","modified_gmt":"2024-06-13T10:11:30","slug":"when-two-factor-authentication-useless","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/when-two-factor-authentication-useless\/30092\/","title":{"rendered":"Cuando la autenticaci\u00f3n de dos factores resulta in\u00fatil"},"content":{"rendered":"

La autenticaci\u00f3n de dos factores (2FA) mediante el empleo de contrase\u00f1as de un solo uso (OTP<\/a>) ahora se considera, a menudo, como una soluci\u00f3n universal contra el phishing, la ingenier\u00eda social, el robo de cuentas y otras amenazas cibern\u00e9ticas.<\/p>\n

Al solicitar una OTP durante el inicio de sesi\u00f3n, el servicio en cuesti\u00f3n proporciona una capa de protecci\u00f3n adicional de verificaci\u00f3n del usuario. Si bien el c\u00f3digo se puede generar en una aplicaci\u00f3n especial directamente en el dispositivo del usuario, lamentablemente pocas personas instalan y configuran una aplicaci\u00f3n de autenticaci\u00f3n<\/a>. Por lo tanto, los sitios generalmente env\u00edan un c\u00f3digo de verificaci\u00f3n en forma de texto, correo electr\u00f3nico, notificaci\u00f3n push, mensaje instant\u00e1neo o incluso llamada de voz.<\/p>\n

Este c\u00f3digo, v\u00e1lido por tiempo limitado, mejora la seguridad de forma significativa. Sin embargo, no es una soluci\u00f3n m\u00e1gica: incluso con el 2FA <\/a>(doble factor de autenticaci\u00f3n), las cuentas personales siguen siendo vulnerables a los bots de OTP, un software automatizado que enga\u00f1a a los usuarios para que revelen sus OTP mediante ingenier\u00eda social.<\/p>\n

Para saber qu\u00e9 funci\u00f3n cumplen estos bots en el phishing y c\u00f3mo funcionan, sigue leyendo\u2026<\/p>\n

C\u00f3mo funcionan los bots de OTP<\/h2>\n

Estos bots, que se controlan a trav\u00e9s de un panel de control en un navegador web o a trav\u00e9s de Telegram, se hacen pasar por organizaciones leg\u00edtimas, como bancos, para enga\u00f1ar a la v\u00edctima a fin de que revele una OTP enviada. As\u00ed es como se desarrolla:<\/p>\n

    \n
  1. Despu\u00e9s de obtener las credenciales de inicio de sesi\u00f3n de la v\u00edctima, incluida la contrase\u00f1a (m\u00e1s abajo te contamos c\u00f3mo se hace), el estafador inicia sesi\u00f3n en la cuenta de la v\u00edctima y se le solicita que introduzca una OTP.<\/li>\n
  2. La v\u00edctima recibe la OTP en su tel\u00e9fono.<\/li>\n
  3. El bot de la OTP llama a la v\u00edctima y, mediante un script de ingenier\u00eda social pregrabado, le pide que introduzca el c\u00f3digo recibido.<\/li>\n
  4. La v\u00edctima desprevenida introduce el c\u00f3digo all\u00ed mismo en su tel\u00e9fono durante la llamada.<\/li>\n
  5. El c\u00f3digo se transmite al bot de Telegram del atacante.<\/li>\n
  6. El estafador obtiene acceso a la cuenta de la v\u00edctima.<\/li>\n<\/ol>\n

    La funci\u00f3n clave del bot de OTP es llamar a la v\u00edctima y el \u00e9xito de la estafa depende de cu\u00e1n persuasivo sea el bot: las OTP tienen una vida \u00fatil corta, por lo que las posibilidades de obtener un c\u00f3digo v\u00e1lido durante una llamada telef\u00f3nica son mucho m\u00e1s altas que mediante cualquier otro m\u00e9todo. Es por eso que los bots de OTP ofrecen una gran cantidad de opciones para ajustar los par\u00e1metros de la llamada.<\/p>\n

    \"Lista<\/a>

    Este bot de OTP cuenta con m\u00e1s de una docena de funciones: scripts personalizados y listos para usar en varios idiomas, 12\u00a0modos de operaci\u00f3n e, incluso, soporte t\u00e9cnico 24\u00a0horas al d\u00eda, los 7\u00a0d\u00edas de la semana.<\/p><\/div>\n

    Los bots de OTP son un negocio. Por ello, para comenzar, los estafadores compran una suscripci\u00f3n en criptomonedas que cuesta el equivalente a hasta 420 USD a la semana. Luego, alimentan al bot con el nombre, el n\u00famero y los datos bancarios de la v\u00edctima, y seleccionan la organizaci\u00f3n cuya identidad desean suplantar.<\/p>\n

    \"Men\u00fa<\/a>

    El men\u00fa del bot es f\u00e1cil de usar y accesible incluso para los estafadores que no cuentan con habilidades de programaci\u00f3n<\/p><\/div>\n

    Para obtener una mayor viabilidad, los estafadores pueden activar la funci\u00f3n de suplantaci\u00f3n de identidad al especificar el n\u00famero de tel\u00e9fono del que parece proceder la llamada, que se muestra en el tel\u00e9fono de la v\u00edctima. Tambi\u00e9n pueden personalizar el idioma e, incluso, la voz del bot. Todas las voces se generan mediante IA, por lo que, por ejemplo, el bot de la OTP puede \u201chablar\u201d ingl\u00e9s con acento indio o espa\u00f1ol castellano. Si se reenv\u00eda una llamada al correo de voz, el bot sabe que debe colgar. Adem\u00e1s, para asegurarse de que todo est\u00e9 configurado de forma correcta, los estafadores pueden verificar la configuraci\u00f3n del bot de OTP mediante una llamada a su propio n\u00famero de prueba antes de comenzar un ataque.<\/p>\n

    La v\u00edctima debe creer que la llamada es leg\u00edtima, por lo que, antes de marcar el n\u00famero, algunos bots de OTP pueden enviar un mensaje de texto de advertencia sobre la futura llamada. Esto relaja la vigilancia del objetivo, ya que, a primera vista, no hay aspectos sospechosos: recibe una notificaci\u00f3n de texto del \u201cbanco\u201d sobre una futura llamada y, unos minutos despu\u00e9s, recibe la llamada, por lo que la v\u00edctima cree que no puede ser una estafa. Sin embargo, lo es.<\/p>\n

    Durante una llamada, puede que algunos bots soliciten, adem\u00e1s de una OTP, otros datos como el n\u00famero de tarjeta bancaria y la fecha de vencimiento, el c\u00f3digo de seguridad o PIN, la fecha de nacimiento, los detalles del documento, etc.<\/p>\n

    Para obtener informaci\u00f3n m\u00e1s detallada sobre el funcionamiento interno de los bots de OTP, consulta nuestro informe en Securelist<\/a>.<\/p>\n

    No solo mediante un bot<\/h2>\n

    Si bien los bots de OTP son herramientas efectivas para eludir la 2FA, resultan completamente in\u00fatiles sin los datos personales de la v\u00edctima. Para obtener acceso a la cuenta, los atacantes necesitan al menos el inicio de sesi\u00f3n, el n\u00famero de tel\u00e9fono y la contrase\u00f1a de la v\u00edctima. Sin embargo, cuanta m\u00e1s informaci\u00f3n tengan sobre el objetivo (nombre completo, fecha de nacimiento, direcci\u00f3n, correo electr\u00f3nico, datos de la tarjeta bancaria), mejor ser\u00e1 (para ellos). Estos datos se pueden obtener de varias formas:<\/p>\n