¿Puede alguien saltarse la verificación de dos pasos de Google enviando un SMS?

Una imagen circulando en Twitter advierte cómo, con un simple mensaje de texto (o SMS), un atacante podría acceder a nuestra cuenta de Google aun teniendo activada la verificación de dos pasos.

Dada la creciente inseguridad en Internet y la cada vez mayor sofisticación de los métodos usados por atacantes en línea, la verificación de dos pasos [two-step verification], llamada también verificación de dos factores [two-factor verification] es un mecanismo que está presente en cada vez más servicios y sitios de Internet. La idea de su funcionamiento es sencilla: Con la verificación de dos pasos activada, cada vez que inicias sesión en un siti web, el sitio te enviará un código de verificación que deberás ingresar en el sitio para demostrar que realmente eres tú (y no un posible atacante) el que pretende iniciar la sesión. De este modo, se añade una capa de seguridad adicional al uso de la tradicional contraseña para iniciar sesión en el sitio.

Pero, como dice el dicho, “hecha la ley, hecha la trampa”. Y cada vez que aparece un nuevo método de seguridad, éste se puede convertir en blanco para alguien que intente aprovecharse de él. Así, el co-fundador de Clearbit, Alex MacCaw, ha publicado en su cuenta de Twitter una imagen que muestra el contenido de un mensaje de texto que puede tomar ventaja de la verificación de dos pasos para engañar al usuario y hacer que revele su código de verificación.

¿Cómo funciona?

El método es como sigue: Un atacante consigue la contraseña de Google de un cierto usuario X. Si el usuario X activada la verificación de dos pasos, el atacante aún no podrá entrar a tu cuenta porque el código de verificación que envía Google llegará al celular del usuario (el cual el atacante no tiene). Entonces, enviará al usuario X un mensaje de texto como el que vimos en el tuit de arriba:

(Notificación de Google™) Recientemente hemos detectado un intento sospechoso de inicio de sesión en [tu cuenta] XXXXX@gmail.com desde la dirección IP XXX.XX.XX.XXX (Ubicación). Si no has intentado iniciar sesión desde esta ubicación y quieres bloquear tu cuenta temporalmente, responde a esta alerta con el código de verificación de 6 dígitos que recibirás en unos instantes. Si has autorizado ese intento de identificación, por favor ignora esta advertencia.

Y luego el atacante intentará iniciar sesión en tu cuenta, lo que hará que Google envíe al usuario X el código de verificación respectivo. El usuario X, pensando que es Google quien le está advirtiendo de un ataque a su cuenta, responderá al mensaje enviando el código que Google le mandó pensando que se lo está mandando a Google cuando en realidad se lo está mandando al atacante. ¡Y listo! No hubo necesidad de pedir ningún dato personal ni contraseña, solo enviar un “aparentemente inofensivo” código de verificación.

Suena muy complicado, ¿es para tanto?

Como vemos, es un método algo rebuscado y en el que el atacante debe tener ciertos datos nuestros (saber nuestro nombre de usuario, contraseña y nuestro número de celular). ¿Qué posibilidades hay de que un cierto atacante tenga todos esos datos de su posible víctima, o de saber siquiera que la víctima tenga activada la verificación de dos pasos? Uno podría pensar que las probabilidades de que todo esto se dé no son muchas, o que quizás un atacante no se tomaría todo ese trabajo solo para tomar control de una mísera cuenta de Gmail; pero tengamos en cuenta otros puntos que podrían hacer que este método se propague más allá:

  • Aunque el tuit original y la imagen publicada se centran en Google, el método puede llevarse fácilmente a cualquier servicio web con verificación de dos pasos.
  • Recientemente se ha reportado casos de robo de contraseñas en diversos servicios de Internet como LinkedIn, MySpace, Tumblr o Vkontakte. En general, los expertos recomiendan usar siempre contraseñas diferentes para cada sitio o servicio web que usemos, aunque las estadísticas demuestran, lamentablemente, que muchos de nosotros terminamos usamos un mismo nombre de usuario, un mismo número celular y, lo que es peor, una misma contraseña para registrarnos en todos los servicios, el riesgo que corremos aumenta (bueno, lo de usar un mismo número celular pasa, pero lo de la contraseña debería ser una regla a seguir sí o sí).
  • Un usuario con ciertos conocimientos puede identificar que este tipo de mensajes no puede ser auténtico. Más aún, que el mensaje no tiene lógica: ¿Para qué Google me pide que le mande un dato que ellos mismos me han enviado? Es lo mismo que, por ejemplo, advierten siempre los bancos sobre no enviar ni ingresar tu contraseña ni ningún otro código de seguridad en ningún otro lugar que no sea la página principal del banco en cuestión. Aun así, vemos cómo algunos siguen cayendo en este tipo de engaños (suplantación de identidad o phishing) que ya son bastante antiguos.

Recibí un mensaje como este. ¿Qué debo hacer?

En principio, no respondas a este mensaje. En lugar de ello, entra al sitio web de Google y cambia tu contraseña, como forma de prevención.

Pero entonces ¿la verificación de dos pasos es insegura?

En lo personal, no creo que el método de dos pasos deje de ser seguro por un incidente como éste. Debemos, sin embargo, tener siempre presente de que ningún método se seguridad es 100% infalible. Como todo, la verificación de dos pasos tiene sus ventajas (como la evidente seguridad adicional que nos brinda) y sus desventajas (como que puede ser tedioso para algunos o que nos hace depender del móvil para iniciar sesión).

Muchas veces, sin embargo, cuando nuestra cuenta de usuario es robada o “hackeada” (dichosa palabrita…), la culpa de ello recae en el propio usuario. No solo por usar una misma contraseña para todo, sino a veces por cosas elementales como no cerrar sesión correctamente, no tener un antivirus (o tenerlo desactualizado) en nuestro equipo, usar contraseñas demasiado simples (no confiar más en el “123456” o contraseñas así de simples), hacer clic donde no debemos (ya sea en un sitio web dudoso o en un correo electrónico falso) o, como en este caso, revelar información de seguridad a un extraño sin querer (ya sea por ingenuidad, exceso de confianza o habilidad del atacante). La seguridad de nuestras cuentas de usuario es toda una cadena, y como dice el dicho, una cadena siempre se rompe en el eslabón más débil, y este eslabón solemos ser nosotros mismos, los usuarios.

Noticia original: CSO (en inglés)

Comparte este artículo :)
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

Danilo Quispe Lucana

Ingeniero de sistemas, desarrollador web y de software. Aficionado a la ciencia y tecnología desde chico.

También te podría gustar...

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *