así facilitan los códigos de un solo uso nuevos tipos de ataque

En un esfuerzo por entregar el ataque y mejorar la experiencia del adjudicatario, muchas plataformas digitales han comenzado a reemplazar las contraseñas tradicionales con un sistema de inicio de sesión basado en códigos de un solo uso enviados por correo electrónico o SMS.

Aunque esta actos pueda parecer moderna, efectivo y segura, en verdad representa una seria amenaza para la seguridad de las cuentas online. Y lo que es más preocupante: esta amenaza ya está causando estragos en comunidades enteras de usuarios, especialmente los de Minecraft y otros juegos online.

¿Cómo funciona este método de ataque?

El método de inicio de sesión basado en códigos de un solo uso (One-Time Passcode, OTP) ha rebaño popularidad como alternativa a las contraseñas tradicionales. La propuesta es sencilla y tiene un salero de modernidad y conveniencia:

1. El adjudicatario accede a la página de inicio de sesión de un servicio.
2. Introduce solamente su dirección de correo electrónico o número de teléfono.
3. El sistema le envía un código temporal (por ejemplo, de 6 dígitos) a través de correo electrónico o mensaje SMS.
4. El adjudicatario introduce el código en la web y accede directamente a su cuenta.

Este enfoque se conoce como autenticación passwordless (sin contraseña), y se nos vende como un avance en términos de comodidad para el adjudicatario. Adicionalmente, grandes empresas tecnológicas como Microsoft, Google e incluso plataformas bancarias ya han comenzado a implementarlo en algunos de sus servicios.

El principal atractivo de este método radica en su llamativo sencillez y que ofrece la opción de suprimir el estrés de memorar largas y complejas contraseñas. Igualmente es cierto que cierra las puertas a ciertos vectores de ataque tradicionales como los ataques de fuerza bruta o el relleno de credenciales (credential stuffing), ya que no se almacena una contraseña estática en los servidores que pueda ser reutilizada o robada.

Desde el punto de sagacidad técnico, este maniquí igualmente se apoya en mecanismos que aseguran que el código enviado solo pueda estar de moda una vez y que tenga una validez temporal limitada (usualmente unos minutos), y esto genera una sensación de seguridad adicional.

Sin secuestro, esta ilusión de seguridad se desmorona rápidamente en la actos, especialmente cuando:

• El servicio no verifica adecuadamente la identidad de quien solicita el código.
• El adjudicatario desconoce qué implica compartir un código OTP.
• El entorno donde se introduce el código no es el sitio innovador (como Discord u otras plataformas ajenas al proveedor del servicio).

Y es aquí donde este método, diseñado para simplificar, se convierte en el talón de Aquiles de miles de cuentas digitales, especialmente cuando se mezcla con ingeniería social y plataformas con esforzado presencia jovial, como Minecraft o Discord.

¿Cuál es el problema con este método?

Lo cierto es que este método facilita enormemente los ataques de suplantación de identidad (phishing). ¿Por qué?

En primer división, porque cualquiera puede iniciar el proceso de comprobación con tu correo: un atacante solo necesita conocer tu dirección de correo electrónico (poco que suele ser conocido o claro de adivinar).

Luego, accede a la página oficial de inicio de sesión del servicio —por ejemplo, Microsoft— y solicita un código de ataque de un solo uso. Este código verdadero será enviado a tu bandeja de entrada, como si tú hubieras iniciado el proceso de inicio de sesión.

Tú no entiendes por qué te ha llegado este e-mail o SMS (un problema agravado por el hecho de que los correos electrónicos que contienen los códigos no indican claramente su propósito)... pero, entonces, el atacante contacta contigo, normalmente a través de Discord, y te pide ese código, haciéndose advenir por un bot de comprobación o un administrador de servidor.

Si caes en la trampa y le das ese código, le estarás entregando ataque completo a tu cuenta, sin que él haya precisado conocer tu contraseña. Como el código es actual y el sitio de origen igualmente, resulta muy difícil detectar la estafa ayer de que sea demasiado tarde.

Adicionalmente, con este sistema, los gestores de contraseñas no pueden protegerte: en los ataques tradicionales, los gestores detectan URLs maliciosas o autocompletan contraseñas sólo en sitios legítimos. En este nuevo maniquí, como el adjudicatario nunca escribe una contraseña y el sistema verdadero es el que emite el código, no hay modo de conocer si el código está siendo usado correctamente.

Casos reales

Esta vulnerabilidad no es una mera posibilidad teórica. Ya existen varios ejemplos documentados de los que empiezan a hacerse eco las comunidades online (desde los foros de Microsoft a YouTube).

Una de las tácticas más comunes descritas en varios foros como Reddit consiste en invitar a jugadores a un servidor de Discord que parece verdadero, con bots y comprobación. Se les pide introducir su correo de Microsoft y luego el código de 6 dígitos que recibirán en su correo. Muchos creen que están verificando su cuenta para entrar al servidor, pero en verdad están entregando el código de ataque a su cuenta de Microsoft a los estafadores.

Resultado: el atacante cambia la dirección de correo de la cuenta, sedimento o reemplaza la información que podría estar de moda para recuperarla en caso de pérdida de ataque (número de teléfono asociado, preguntas de seguridad), y el propietario verdadero pierde el ataque permanentemente.

Adicionalmente, según el testimonio de un youtuber, los atacantes utilizan Webhooks de Discord para automatizar el robo de cuentas una vez obtienen el código. Así, los datos de la víctima son reemplazados por los del estafador en cuestión de minutos.

¿Por qué no se acento más de esta estafa?

Una de las razones es que los actores maliciosos utilizan canales y sistemas legítimos. El correo de Microsoft que contiene el código, por ejemplo, parece auténtico... porque lo es: el código no viene de un sitio imitado. La manipulación ocurre cuando la víctima, por ingenuidad o desatiendo de información, entrega ese código al estafador.

Adicionalmente, muchos afectados son menores de momento o usuarios menos familiarizados con prácticas seguras en Internet. Esto los convierte en blancos fáciles y en víctimas silenciosas.

¿Cómo aprestar estos ataques?

1. Nunca entregues códigos de comprobación a terceros. Ningún servidor de Discord o sitio debería pedirte un código enviado a tu correo personal. Si determinado te lo solicita, es una estafa.
2. Educa a otros usuarios, especialmente jóvenes. Muchos de los afectados son adolescentes. Compartir esta información puede evitar que más personas caigan.
3. Verifica siempre el propósito de los códigos que recibes. Si recibes un código inesperado de Microsoft, ignóralo. Y si tú mismo lo has solicitado, asegúrate de ingresarlo solo en el sitio innovador, no en Discord o servicios externos.
4. Usa contraseñas seguras y sistemas de autenticación multifactor reales. Aunque parezca contradictorio, retornar a usar contraseñas fuertes y seguras es, hoy por hoy, más seguro que reconocer exclusivamente de códigos de un solo uso sin contraseña.

Vía | Daniel Huang

Imagen | Marcos Merino mediante IA

En Genbeta | Me lío tanto con las contraseñas de mis servicios y apps que he antagónico mi amigo consumado: regenerarlas continuamente