Ingeniería Social y Robo de OTP: Cómo los Atacantes Evitan la Autenticación de Dos Factores (2FA)
La Autenticación de Dos Factores (2FA), especialmente a través de contraseñas de un solo uso (OTP) por SMS, se ha considerado durante mucho tiempo una capa de seguridad confiable. Sin embargo, los ciberdelincuentes han evolucionado. Hoy en día, los atacantes eluden habitualmente la 2FA utilizando una combinación de manipulación psicológica (ingeniería social) y exploits técnicos para robar códigos OTP. En este artículo, examinaremos cómo ocurren estos ataques, los mecanismos que usan los estafadores para recolectar códigos y cómo puedes proteger tus cuentas utilizando números de teléfono virtuales temporales.
La Ingeniería Social en la Evasión de 2FA
La ingeniería social consiste en manipular a las personas para que entreguen información confidencial. A diferencia del hacking tradicional que busca vulnerabilidades de software, la ingeniería social explota la psicología humana: el miedo, la urgencia y la confianza en la autoridad.
Al atacar la 2FA por SMS, los estafadores no necesitan hackear el banco o la plataforma. En su lugar, contactan directamente a la víctima haciéndose pasar por empleados de soporte o de una entidad financiera. Creando una falsa sensación de urgencia (por ejemplo, diciendo que su cuenta ha sido suspendida), presionan a la víctima para que entregue el código de verificación.
Anatomía de un Ataque de Robo de OTP
Un ataque típico de robo de OTP sigue estos pasos:
- Obtención de datos: El atacante consigue el número de teléfono y datos básicos de la víctima a través de filtraciones de datos anteriores.
- La alerta falsa: Envían un SMS o llaman diciendo que hay un intento de inicio de sesión no autorizado.
- Activación del OTP real: Mientras hablan con la víctima, el atacante solicita un restablecimiento de contraseña en el sitio web real, lo que hace que el sistema envíe un código OTP legítimo al teléfono de la víctima.
- El engaño final: El atacante le pide a la víctima que le lea el código para "cancelar" la supuesta transacción. Al dar el código, el atacante accede a la cuenta y cambia las credenciales.
Cómo Protegerse contra el Robo de OTP
- Nunca compartas códigos OTP: Ninguna empresa legítima te pedirá un código OTP por llamada o mensaje. Trata los códigos de verificación con el mismo secreto que tus contraseñas.
- Usa aplicaciones de autenticación: Configura herramientas como Google Authenticator o llaves físicas de seguridad en lugar de SMS.
- Utiliza números virtuales temporales: Para registros en línea y aplicaciones no esenciales, evita dar tu número personal. Un número virtual temporal protege tu privacidad y evita que seas blanco directo de estas campañas de phishing.
