¿Qué son los bots OTP y cómo funcionan para eludir el 2FA del usuario?

Noticias, OpenSecurity aconseja, Seguridad / / 8 minutos de lectura
Compartir en Pinterest Compartir en WhatsApp

Los bots OTP (One-Time Password) son una amenaza relativamente nueva y sofisticada en el cada vez más amplio mundo de las estafas de Autenticación Multifactor (MFA). En resumen, un bot OTP es un software automatizado que elude la autenticación de dos factores, lo que provoca una pesadilla de seguridad para los usuarios y los servicios en línea. Dado que desafían muchas medidas de seguridad convencionales, comprender y neutralizar los bots OTP se ha convertido en una prioridad para muchas organizaciones.

La configuración del terreno de autenticación: OTP y 2FA

¿Qué son las contraseñas de un solo uso (OTP)?

Las contraseñas de un solo uso (OTP) son códigos de acceso únicos y de corta duración que se envían al número de teléfono de una persona para usarse como una capa adicional de seguridad para transacciones o inicios de sesión en línea. Por lo general, se envían al número de teléfono registrado o al correo electrónico de un usuario y se deben ingresar dentro de un período de tiempo específico para confirmar la identidad del usuario. A diferencia de las contraseñas estáticas tradicionales, las OTP son mucho más difíciles de comprometer porque son dinámicas, de corta duración y caducan después de un solo uso, lo que las convierte en una opción popular para procesos de autenticación de dos y múltiples factores.

La autenticación de dos factores (2FA)

mejora la seguridad al requerir dos métodos de verificación separados. Por lo general, después de ingresar una contraseña, los usuarios reciben una contraseña de un solo uso (OTP) para su número de teléfono a través de SMS, lo que proporciona una segunda capa de seguridad. Sin embargo, los bots OTP han surgido como una herramienta para interceptar estos códigos OTP cruciales, creando un problema de seguridad apremiante.

El proceso de 2FA implica una combinación de dos factores diferentes: algo que sabes (como una contraseña), algo que tienes (como tu teléfono) o algo que eres (como tu huella digital). Esto significa que incluso si un atacante conoce la contraseña, seguirá necesitando el segundo factor (generalmente un código de verificación temporal enviado al número de teléfono de su dispositivo móvil) para acceder a su cuenta. Ahora que los bots OTP pueden interceptar estos códigos, la eficacia de 2FA se ve algo comprometida, lo que impulsa el desarrollo de métodos de autenticación más avanzados y seguros.

¿Qué son los bots OTP?

Los bots OTP son programas de software automatizados que están diseñados para evitar los sistemas de autenticación de dos factores (2FA). Los bots OTP se utilizan normalmente para obtener ganancias financieras, como acceder y vaciar cuentas bancarias o realizar transacciones fraudulentas. A medida que más y más servicios en línea han implementado 2FA como una capa adicional de seguridad, los bots OTP se han convertido en una amenaza más importante con su capacidad de eludir los métodos de autenticación tradicionales, lo que facilita a los delincuentes informáticos el acceso a información confidencial utilizando el número de teléfono de la víctima u otros métodos.

Comprender los ataques de bots OTP y su impacto

Si bien los bots OTP no son esenciales para que funcionen las estafas OTP, pueden escalar y mejorar enormemente las tasas de éxito de las estafas mediante la automatización y una capa adicional de credibilidad. Hay dos tipos de estafas comunes en las que los bots OTP pueden tener un impacto enorme:

Suplantación de identidad

En un ataque de phishing, la víctima potencial suele recibir un mensaje de texto o un correo electrónico afirmando que algo anda mal con su cuenta bancaria con una URL/enlace de apariencia plausible en el que hacer clic. La estafa suele desarrollarse de la siguiente manera:

  1. La víctima hace clic en el enlace, lo lleva a un sitio fraudulento que imita la página de inicio de sesión del banco e ingresa sus credenciales que el atacante luego utiliza para acceder al sitio real del banco.
  2. En esta etapa, el acceso directo a la cuenta bancaria se bloquea debido a la dirección IP desconocida del atacante, por lo que se inicia un desafío OTP de autenticación de dos factores (2FA).
  3. El sitio del estafador solicita a la víctima que seleccione un método 2FA y envía la elección al banco.
  4. El banco envía una OTP a la víctima, quien la ingresa en el sitio de phishing. El atacante utiliza la OTP para obtener acceso completo a la cuenta bancaria.
  5. Para evitar sospechas, el estafador puede permitir un acceso transparente al banco o mostrar un mensaje de error falso.
  6. Luego, el estafador puede realizar transacciones fraudulentas o recopilar información financiera de la víctima.

Uso de malware

Como se mencionó, los bots OTP son software automatizado que se clasifican como malware dada la naturaleza maliciosa de su diseño. En un ataque de malware, el atacante engañará a la víctima para que instale el bot OTP (malware) en su dispositivo. Esto a menudo se logra mediante la explotación de los flujos de restablecimiento de contraseña para sitios que utilizan solo la validación de PIN OTP como desafío para restablecer la contraseña. Una vez que el bot OTP (malware) está en el dispositivo de la víctima, puede monitorear las actividades del dispositivo de la siguiente manera:

  1. Los OTP para autenticación, como los inicios de sesión bancarios, se envían al teléfono del usuario.
  2. El malware en el dispositivo del usuario detecta y reenvía secretamente la OTP al atacante.
  3. El malware avanzado automatiza el proceso: iniciar sesión, interceptar OTP y completar la autenticación.
  4. Los atacantes obtienen acceso no autorizado para realizar acciones maliciosas (transferencia de fondos, robo de datos).
  5. El malware puede borrar el mensaje OTP para evitar que el usuario lo detecte.
  6. Es posible que se instalen malware o puertas traseras adicionales para un acceso sostenido.

Al automatizar el proceso de interceptación de OTP, estos robots pueden realizar ataques generalizados, comprometiendo numerosas cuentas rápidamente y, a menudo, pasando desapercibidos hasta que se desarrolla el daño.

El problema con 2FA

Una de las principales razones por las que los ataques de bots OTP se han vuelto tan frecuentes es la popularidad de 2FA como medida de seguridad adicional. Con la creciente popularidad, han surgido nuevos métodos para eludir este popular método de autenticación. 2FA es ahora un objetivo lucrativo para los ciberdelincuentes que buscan formas de explotar vulnerabilidades y robar información confidencial.

LLMs e Ingeniería Social moderna

Con las plataformas modernas de IA generativa como ChatGPT 4, las respuestas automatizadas pueden parecer tan humanas que a menudo se siente como si hubiera una persona real detrás de la «cortina». La ingeniería social moderna busca explotar este avance tecnológico increíblemente prometedor (y desalentador) en el mundo de la tecnología. fraude.

Los defectos de los OTP basadas en SMS

A pesar de su cifrado, los mensajes de texto SMS pueden interceptarse por medios técnicos (como robots OTP) o engañando a los representantes de los servicios de telecomunicaciones, explotando el eslabón de seguridad más débil: el error humano. Además, los atacantes pueden secuestrar la tarjeta SIM de la víctima utilizando técnicas de ingeniería social para hacerse pasar por el usuario y obtener una nueva SIM con el mismo número (una técnica bastante nefasta llamada SIM swapping). Luego reciben todos los mensajes SMS entrantes, incluidos los OTP, esencialmente evitando las medidas 2FA para comprometer las cuentas de las víctimas.

Estrategias de prevención

Para combatir los bots OTP, las empresas y los servicios en línea deben implementar fuertes medidas de seguridad que vayan más allá de los métodos tradicionales 2FA. Estos incluyen métodos de autenticación biométrica, como la huella digital o el reconocimiento facial, que son más difíciles de eludir para los robots. Además, las empresas y los servicios deben revisar y actualizar periódicamente sus protocolos de seguridad para mantenerse a la vanguardia de la evolución de las tácticas de los bots.

Factores 2FA más fuertes

Agregar capas de seguridad más sólidas puede dificultar que los robots OTP obtengan acceso a las cuentas de los usuarios. La incorporación de métodos como la verificación biométrica o tokens de hardware multiplataforma fortalece y diversifica los puntos de control que conducen al acceso a la cuenta. Esto dificulta que los bots eludan los protocolos de seguridad y obtengan acceso no autorizado.

Biometría del comportamiento

La biometría del comportamiento, también conocida como biometría pasiva, es un método de autenticación emergente que analiza los patrones de comportamiento del usuario para identificar y verificar a las personas. Estos incluyen dinámicas de pulsación de teclas, movimientos del mouse, patrones de deslizamiento y otros comportamientos únicos que son difíciles de replicar para los robots. Al monitorear continuamente estos patrones de comportamiento, los servicios en línea pueden detectar actividades sospechosas y bloquear ataques de bots OTP antes de que comprometan información confidencial.

Autenticación web y tokens de hardware

La autenticación web funciona mediante el uso de criptografía de clave pública y tokens de hardware seguros o datos biométricos almacenados en el dispositivo del usuario, lo que previene eficazmente los ataques de bots OTP. Cuando un usuario registra una cuenta, el servidor crea un par de claves pública y privada, con la clave privada o token de hardware almacenado de forma segura en el dispositivo del usuario y la clave pública almacenada en el servidor. Durante el inicio de sesión, el servidor envía un desafío al dispositivo del usuario, que el dispositivo firma con la clave privada. Luego, el servidor puede verificar la firma con la clave pública almacenada, asegurando que el usuario, y no un bot, esté intentando acceder a la cuenta. Este procedimiento eleva significativamente el listón para los atacantes, ya que ahora deben obtener acceso al dispositivo físico o a los datos biométricos del usuario para evitar la autenticación, lo que no es tarea fácil.

El creciente uso de bots OTP representa una amenaza significativa para la seguridad de la autenticación multifactor. A medida que las organizaciones y los usuarios se adapten a estas nuevas amenazas, será crucial adoptar métodos de autenticación más robustos y diversificados para proteger la información sensible y mitigar los riesgos asociados con estos sofisticados ataques.

Compartir en Pinterest Compartir en WhatsApp

Entradas relacionadas

Scroll al inicio