SEGURIDAD EN LA RED

Afirman que la autenticación de dos factores no es segura

Según los profesionales de Internet y seguridad, la verificación en 'dos pasos' ya no es la mejor manera de estar a salvo de la suplantación de identidad. Mirá los detalles.
domingo, 23 de diciembre de 2018 · 00:00

Acceder a una cuenta o sitio web usando una clave y posteriormente un código, es decir la denominada "autenticación de dos factores", ya no sería completamente segura, informaron desde una empresa de seguridad informática.

Michal Salat, Director de Inteligencia de Amenazas de Avast, brindó consejos para evitar sufrir hackeos de este tipo en su correo electrónico.

En este caso, el problema no reside en el proceso de autenticación de dos factores, sino en el usuario, explica Salat.

El profesional detalla que el ataque es solo una versión más avanzada del phishing regular, donde los usuarios son los que entregan sus credenciales. Este ataque no solo engaña a los usuarios para que entreguen su contraseña a través de un sitio web de phishing, sino que también hace que el servicio legítimo, como Google Mail o Yahoo Mail, envíe un código de autenticación de dos factores y, posteriormente, solicite al usuario que ingrese el código en el sitio de phishing.

La autenticación de dos factores fue diseñada para ayudar a fortalecer las cuentas contra la reutilización de contraseñas. Si, por ejemplo, las credenciales de inicio de sesión se filtran y se usan para varias cuentas, la autenticación de dos factores puede alertar a los usuarios si alguien está tratando de usar las credenciales filtradas para iniciar sesión en una de sus cuentas, comenta Salat.

Normalmente, la autenticación de dos factores es segura, ya que los atacantes necesitan un código de token de corta duración recibido a través de una aplicación o mensaje de texto, además de las credenciales de inicio de sesión de la cuenta para acceder a dicha cuenta.

Los usuarios también pueden usar claves de hardware, como Yubikey, para protegerse. Además, deben instalar antivirus en todos sus dispositivos, para bloquear los sitios de phishing.

Hoy los sitios de phishing están muy bien diseñados, lo que aumenta la probabilidad de que un usuario caiga en una estafa de phishing, independientemente de cuán vigilantes estén. Avast Antivirus utiliza inteligencia artificial para detectar sitios de phishing, verificando la popularidad y antigüedad de los dominios del sitio, tokens de URL y posteriormente, analizando los píxeles de la página, concluye.

Comentarios