La autenticación de dos factores (2FA) ya no es una seguridad infalible. Ilustración
Nueva forma de ataque
La autenticación de dos factores (2FA) se ha convertido en una característica de seguridad estándar en ciberseguridad. Este formulario requiere que los usuarios verifiquen su identidad con un segundo paso de autenticación, generalmente una contraseña de un solo uso (OTP) enviada por mensaje de texto, correo electrónico o aplicación de autenticación. Esta capa adicional de seguridad está destinada a proteger la cuenta de un usuario incluso si su contraseña es robada.
Si bien muchos sitios web adoptan ampliamente la 2FA y las organizaciones la exigen, recientemente los expertos en ciberseguridad de Kaspersky han descubierto ataques de phishing utilizados por ciberdelincuentes para eludir la 2FA.
En consecuencia, los atacantes cibernéticos han pasado a una forma más sofisticada de ciberataque, combinando el phishing con bots OTP automatizados para engañar a los usuarios y acceder ilegalmente a sus cuentas. En concreto, el estafador engaña a los usuarios para que revelen estas OTP y así poder eludir las protecciones 2FA.
Los ciberdelincuentes combinan el phishing con bots OTP automatizados para engañar a los usuarios y obtener acceso no autorizado a sus cuentas. Ilustración
Los estafadores incluso utilizan bots OTP, una herramienta sofisticada, para interceptar códigos OTP mediante ataques de ingeniería social. En consecuencia, los atacantes a menudo intentan robar la información de inicio de sesión de las víctimas utilizando métodos como el phishing o la explotación de vulnerabilidades de datos. Luego inician sesión en la cuenta de la víctima, lo que activa el envío de un código OTP al teléfono de la víctima.
A continuación, el bot OTP llamará automáticamente a la víctima, haciéndose pasar por un empleado de una organización confiable, utilizando un guión de conversación preprogramado para convencer a la víctima de que revele el código OTP. Finalmente, el atacante recibe el código OTP a través del bot y lo utiliza para obtener acceso no autorizado a la cuenta de la víctima.
Los estafadores a menudo prefieren las llamadas de voz a los mensajes de texto porque las víctimas tienden a responder más rápidamente a este método. En consecuencia, el bot OTP simulará el tono y la urgencia de un humano en la llamada para crear una sensación de confianza y persuasión.
Los estafadores controlan los bots OTP a través de paneles de control en línea especiales o plataformas de mensajería como Telegram. Estos bots también vienen con varias funciones y paquetes de suscripción, lo que facilita la acción de los atacantes. En consecuencia, los atacantes pueden personalizar las funciones del bot para hacerse pasar por organizaciones, utilizar varios idiomas e incluso elegir un tono de voz masculino o femenino. Además, las opciones avanzadas incluyen la suplantación de número de teléfono, que tiene como objetivo hacer que el número de teléfono de la persona que llama parezca ser de una organización legítima para engañar sutilmente a la víctima.
A medida que la tecnología evoluciona, se requiere una mayor protección de la cuenta. Ilustración
Para utilizar un bot OTP, el estafador primero debe robar las credenciales de inicio de sesión de la víctima. A menudo utilizan sitios web de phishing diseñados para parecer idénticos a páginas de inicio de sesión legítimas de bancos, servicios de correo electrónico u otras cuentas en línea. Cuando la víctima ingresa su nombre de usuario y contraseña, el estafador recopila automáticamente esta información al instante (en tiempo real).
Entre el 1 de marzo y el 31 de mayo de 2024, las soluciones de seguridad de Kaspersky bloquearon 653.088 visitas a sitios web creados por kits de phishing dirigidos a bancos. Los datos robados de estos sitios web se utilizan a menudo en ataques de bots OTP. Durante ese mismo período, los expertos descubrieron 4.721 sitios web de phishing creados mediante kits de herramientas que pretendían eludir la autenticación de dos factores en tiempo real.
No cree contraseñas comunes
Olga Svistunova, experta en seguridad de Kaspersky, comentó: "Los ataques de ingeniería social se consideran métodos de fraude extremadamente sofisticados, especialmente con la aparición de bots OTP con la capacidad de simular legítimamente llamadas de representantes de servicio. Para permanecer alerta, es importante mantener la precaución y cumplir con las medidas de seguridad".
Los piratas informáticos simplemente utilizan algoritmos de adivinación inteligentes para descubrir contraseñas fácilmente. Ilustración
Porque en el análisis de 193 millones de contraseñas realizado por los expertos de Kaspersky utilizando algoritmos de adivinación inteligente a principios de junio, estas son contraseñas que también fueron comprometidas y vendidas en la darknet por ladrones de información, mostró que el 45% (equivalente a 87 millones de contraseñas) podrían descifrarse con éxito en un minuto; Solo el 23% (44 millones) de las combinaciones de contraseñas se consideran lo suficientemente fuertes como para resistir ataques, y descifrar estas contraseñas llevaría más de un año. Sin embargo, la mayoría de las contraseñas restantes aún pueden descifrarse en un plazo de entre una hora y un mes.
Además, los expertos en ciberseguridad también revelaron las combinaciones de caracteres más utilizadas cuando los usuarios configuran contraseñas como: Nombre: "ahmed", "nguyen", "kumar", "kevin", "daniel"; palabras populares: "para siempre", "amor", "google", "hacker", "jugador"; Contraseñas estándar: "contraseña", "qwerty12345", "admin", "12345", "equipo".
El análisis encontró que sólo el 19% de las contraseñas contenían una combinación de una contraseña segura, incluida una palabra que no estaba en el diccionario, letras mayúsculas y minúsculas, así como números y símbolos. Al mismo tiempo, el estudio también encontró que el 39% de esas contraseñas seguras aún podrían ser adivinadas por algoritmos inteligentes en menos de una hora.
Curiosamente, los atacantes no necesitan poseer conocimientos especializados ni equipos avanzados para descifrar contraseñas. Por ejemplo, un procesador portátil dedicado puede determinar con precisión una combinación de contraseña de 8 letras o dígitos en minúscula mediante fuerza bruta en solo 7 minutos. Además, la tarjeta gráfica integrada manejará la misma tarea en 17 segundos. Además, los algoritmos inteligentes de adivinación de contraseñas tienden a sustituir caracteres ("e" por "3", "1" por "!" o "a" por "@") y cadenas comunes ("qwerty", "12345", "asdfg").
Utilice contraseñas con cadenas aleatorias de caracteres para que a los piratas informáticos les resulte difícil adivinarlas. Ilustración
“De manera inconsciente, las personas tienden a crear contraseñas muy simples, a menudo utilizando palabras del diccionario en su lengua materna, como nombres y números... Incluso las combinaciones de contraseñas seguras rara vez se desvían de esta tendencia, por lo que son completamente predecibles por los algoritmos”, dijo Yuliya Novikova, directora de Inteligencia de Huella Digital en Kaspersky.
Por lo tanto, la solución más confiable es generar una contraseña completamente aleatoria utilizando administradores de contraseñas modernos y confiables. Estas aplicaciones pueden almacenar de forma segura grandes cantidades de datos, proporcionando una protección integral y poderosa para la información del usuario.
Para aumentar la fortaleza de las contraseñas, los usuarios pueden aplicar los siguientes consejos simples: Utilizar software de seguridad de red para administrar las contraseñas; Utilice contraseñas diferentes para diferentes servicios. De esta manera, incluso si una de tus cuentas es hackeada, las demás seguirán estando seguras; La frase de contraseña ayuda a los usuarios a recuperar sus cuentas cuando olvidan sus contraseñas. Es más seguro utilizar palabras menos comunes. Además, pueden utilizar un servicio en línea para comprobar la solidez de su contraseña.
No utilice información personal, como fechas de nacimiento, nombres de familiares, nombres de mascotas o apodos, como contraseña. A menudo, estas son las primeras opciones que probará un atacante al descifrar una contraseña.
Fuente
Kommentar (0)