Cómo pueden los atacantes evadir la autenticación de dos factores

hackers imagen relacionada

Puede pensar que habilitar la autenticación de dos factores en su cuenta la hace 100% segura. La autenticación de dos factores se encuentra entre los mejores métodos para proteger su cuenta

Pero es posible que se sorprenda al saber que su cuenta puede ser secuestrada a pesar de habilitar la autenticación de dos factores. En este artículo, le diremos las diferentes formas en que los atacantes pueden eludir la autenticación de dos factores.

¿Qué es la autenticación de dos factores (2FA)?

Antes de comenzar, veamos qué es 2FA. Sabes que debes ingresar una contraseña para iniciar sesión en tu cuenta. Sin la contraseña correcta, no puede iniciar sesión. 2FA es el proceso de agregar una capa de seguridad adicional a su cuenta. Después de habilitarlo, no puede iniciar sesión en su cuenta ingresando solo la contraseña. Tienes que completar un paso de seguridad más. Esto significa que en 2FA, el sitio web verifica al usuario en dos pasos.

¿Cómo funciona 2FA?

Entendamos el principio de funcionamiento de la autenticación de dos factores. El 2FA requiere que se verifique a sí mismo dos veces. Cuando ingrese su nombre de usuario y contraseña, será redirigido a otra página, donde deberá proporcionar una segunda prueba de que usted es la persona real que intenta iniciar sesión. Un sitio web puede utilizar cualquiera de los siguientes métodos de verificación:

OTP (contraseña de un solo uso)

Después de ingresar la contraseña, el sitio web le dice que se verifique ingresando la OTP enviada en su número de teléfono móvil registrado. Después de ingresar la OTP correcta, puede iniciar sesión en su cuenta.

Notificación inmediata

Se muestra una notificación rápida en su teléfono inteligente si está conectado a Internet. Tiene que verificarse a sí mismo tocando el botón " Sí ". Después de eso, iniciará sesión en su cuenta en su PC.

Códigos de respaldo

Los códigos de respaldo son útiles cuando los dos métodos de verificación anteriores no funcionan. Puede iniciar sesión en su cuenta ingresando cualquiera de los códigos de respaldo que ha descargado de su cuenta.

Aplicación Authenticator

En este método, debe conectar su cuenta con una aplicación de autenticación. Siempre que desee iniciar sesión en su cuenta, debe ingresar el código que se muestra en la aplicación de autenticación instalada en su teléfono inteligente.

Hay varios métodos más de verificación que puede utilizar un sitio web.

Cómo los piratas informáticos pueden sortear la autenticación de dos factores

Sin lugar a dudas, 2FA hace que su cuenta sea más segura. Pero todavía hay muchas formas en las que los piratas informáticos pueden eludir esta capa de seguridad.

Robo de cookies o secuestro de sesión

Robo de cookies o secuestro de sesioneses el método para robar la cookie de sesión del usuario. Una vez que el pirata informático consigue robar la cookie de sesión, puede eludir fácilmente la autenticación de dos factores. Los atacantes conocen muchos métodos de secuestro, como fijación de sesiones, rastreo de sesiones, secuencias de comandos entre sitios, ataques de malware, etc. Evilginx es uno de los marcos populares que utilizan los piratas informáticos para realizar un ataque de intermediario. En este método, el pirata informático envía un enlace de phishing al usuario que lo lleva a una página de inicio de sesión de proxy. Cuando el usuario inicia sesión en su cuenta usando 2FA, Evilginx captura sus credenciales de inicio de sesión junto con el código de autenticación. Dado que la OTP expira después de usarla y también es válida para un período de tiempo en particular, no tiene sentido capturar el código de autenticación. Pero el hacker tiene las cookies de sesión del usuario,

Generación de código duplicado

Si ha utilizado la aplicación Google Authenticator, sabe que genera nuevos códigos después de un tiempo determinado. Google Authenticator y otras aplicaciones de autenticación funcionan con un algoritmo particular. Los generadores de código aleatorio generalmente comienzan con un valor semilla para generar el primer número. Luego, el algoritmo usa este primer valor para generar los valores de código restantes. Si el pirata informático puede comprender este algoritmo, puede crear fácilmente un código duplicado e iniciar sesión en la cuenta del usuario.

Fuerza bruta

Brute Force es una técnica para generar todas las posibles combinaciones de contraseñas. El tiempo para descifrar una contraseña usando la fuerza bruta depende de su longitud. Cuanto más larga sea la contraseña, más tiempo llevará descifrarla. Generalmente, los códigos de autenticación tienen de 4 a 6 dígitos, los piratas informáticos pueden intentar un intento de fuerza bruta de eludir la 2FA. Pero hoy, la tasa de éxito de los ataques de fuerza bruta es menor. Esto se debe a que el código de autenticación sigue siendo válido solo por un período breve.

Ingeniería social

La ingeniería social es la técnica en la que un atacante intenta engañar a la mente del usuario y lo obliga a ingresar sus credenciales de inicio de sesión en una página de inicio de sesión falsa. No importa si el atacante conoce su nombre de usuario y contraseña o no, puede omitir la autenticación de dos factores. ¿Cómo? Veamos:

Consideremos el primer caso en el que el atacante conoce su nombre de usuario y contraseña. No puede iniciar sesión en su cuenta porque ha habilitado 2FA. Para obtener el código, puede enviarte un correo electrónico con un enlace malicioso, lo que te crea el temor de que tu cuenta pueda ser pirateada si no tomas medidas inmediatas. Cuando haga clic en ese enlace, será redirigido a la página del pirata informático que imita la autenticidad de la página web original. Una vez que ingrese el código de acceso, su cuenta será pirateada.

Ahora, tomemos otro caso en el que el pirata informático no conoce su nombre de usuario y contraseña. Nuevamente, en este caso, le envía un enlace de phishing y roba su nombre de usuario y contraseña junto con el código 2FA.

OAuth

La integración de OAuth proporciona a los usuarios la posibilidad de iniciar sesión en su cuenta utilizando una cuenta de terceros. Es una aplicación web de renombre que utiliza tokens de autorización para demostrar la identidad entre los usuarios y los proveedores de servicios. Puede considerar OAuth como una forma alternativa de iniciar sesión en sus cuentas.

Un mecanismo de OAuth funciona de la siguiente manera:

  • El sitio A solicita al sitio B (por ejemplo, Facebook) un token de autenticación.
  • El sitio B considera que la solicitud la genera el usuario y verifica la cuenta del usuario.
  • El sitio B luego envía un código de devolución de llamada y permite que el atacante inicie sesión.
  • En los procesos anteriores, hemos visto que el atacante no necesita verificarse a sí mismo a través de 2FA. Pero para que este mecanismo de omisión funcione, el pirata informático debe tener el nombre de usuario y la contraseña de la cuenta del usuario.

Así es como los piratas informáticos pueden eludir la autenticación de dos factores de la cuenta de un usuario.

¿Cómo evitar la omisión de 2FA?

De hecho, los piratas informáticos pueden omitir la autenticación de dos factores, pero en cada método, necesitan el consentimiento de los usuarios, que obtienen al engañarlos. Sin engañar a los usuarios, no es posible omitir 2FA. Por tanto, debes cuidar los siguientes puntos:

  • Antes de hacer clic en cualquier enlace, compruebe su autenticidad. Puede hacerlo comprobando la dirección de correo electrónico del remitente.
  • Cree una contraseña segura que contenga una combinación de alfabetos, números y caracteres especiales.
  • Utilice solo aplicaciones de autenticación genuinas, como el autenticador de Google, el autenticador de Microsoft, etc.
  • Descargue y guarde los códigos de respaldo en un lugar seguro.
  • Nunca confíe en los correos electrónicos de phishing que utilizan los piratas informáticos para engañar a los usuarios.
  • No comparta los códigos de seguridad con nadie.
  • Configure la clave de seguridad en su cuenta, una alternativa a 2FA.
  • Siga cambiando su contraseña con regularidad.

Gracias por visitar este sitio, espero que te haya gustado y vuelvas proximamente, compartela en las redes sociales, gracias

Compartir en Facebook Compartir en twitter

Semrush sigue a tu competencia

Fecha actualización el 2021-04-01. Fecha publicación el 2021-04-01. Categoría: hackers Autor: Oscar olg Mapa del sitio Fuente: thewindowsclub