Mediante phishing hackers iraníes vulneraron los sistemas de Google y Yahoo
Dentro de los consejos más habituales sobre la seguridad en Internet al referirse a la autenticación en sitios web es el uso de la verificación en dos pasos, que suele emplear el smartphone con elemento verificador, con los SMS como principal medio para recibir una clave única que dé acceso.
Las medidas de seguridad clásicas son cada vez menos infalibles y ahora este mecanismo también demuestra tener fallas. Un grupo de investigadores del Certfa Lab publicó un estudio en donde explica cómo hackers iraníes, supuestamente agentes gubernamentales, atacaron a funcionarios estadounidenses, periodistas y activistas sociales.
LEE: ¿YA NOS TOMAREMOS EN SERIO LA CIBERSEGURIDAD?
El correo electrónico fue de los principales medios usados, pero según los investigadores la autenticación de doble factor ya no ofrece el nivel de seguridad como en sus inicios. Porque los hackers investigaron la cuenta de correo de sus objetivos, cuando la obtuvieron, enviaron un mensaje desde una dirección aparentemente fiable, el cual contenía imágenes que hacían de trackers de seguimiento de apertura.
Con ello podían monitorear la apertura de enlaces porque los correos incluían enlaces a sitios falsos de Google o Yahoo, común en casos de phishing. Al introducir sus credenciales (usuario y contraseña) en los portales falsos, los atacantes podían acceder a las páginas oficiales de Gmail y/o Yahoo con los datos de acceso.
No obstante, al tener muchos usuarios verificación a dos pasos, los hackers orquestaron un segundo paso que también les hiciera introducir el código único que llega, por lo general, vía un SMS. Al recibirlo e ingresarlo en el sitio web en un lapso breve de tiempo, las cuentas quedaron comprometidas en su totalidad.
La investigación concluye que es vulnerable el sistema de Google y que por el momento es más complicado atacar cuentas que usan llaves de seguridad USB o conectadas vía Bluetooth o NFC a una terminal con el estándar Universal 2nd Factor (U2F), que hace que el usuario pueda completar el proceso de inicio de sesión insertando el dispositivo USB y presionando un botón en el mismo. La ventaja es que funciona sin necesidad de ningún controlador o software especial.
