Rompen la seguridad de Gmail con un ingenioso sistema de ‘phishing’
Un informe de Amnistía Internacional alerta de cómo los hackers han logrado hacerse con las contraseñas y los códigos de seguridad que Google manda por SMS
La verificación en dos pasos para usuarios en riesgo de Gmail puede estar en riesgo gracias a cómo algunos hackers están robando cuentas de Google, no solo contraseñas, también los códigos que se envían mediante SMS para asegurar la identidad del dueño.
Según un informe de Amnistía Internacional con tener una buena práctica de contraseñas y seguridad ya no es suficiente, ya que algunos hackers están automatizando el robo de contraseñas y códigos a un nivel muy sofisticado.
Tener activada la verificación en dos pasos es siempre una buena idea, pero siempre hay alguien más listo. Los hackers que están robando estas cuentas sensibles usan métodos de phishing tradicionales, es decir, crean páginas que imitan a la perfección el acceso a una cuenta de Google. Una vez escriben el usuario y contraseña, muestran otra página para escribir el código que Google manda por SMS.
Proceso de robo automatizado
El truco es que automatizan todo el proceso, así cuando el usuario mete la contraseña sus páginas falsas intentan acceder por otro lado a Gmail. Cuando la víctima escribe el código de seguridad recibido mediante SMS o usando alguna aplicación móvil, la página de los hackers es quien de verdad envía el código a Google.
Mediante esta práctica se pude robar al instante una cuenta de Google o Yahoo, según el informe de Amnistía Internacional. Según el estudio los hackers han logrado acceder a más de mil cuentas en Oriente Medio y norte de áfrica entre 2017 y 2018.
Captura de una web falsa que pide el código de seguridad que llega por SMS. Imagen: Amnistía Internacional
Los ataques empiezan todos igual. Llega un correo electrónico avisando que alguien ha accedido a la cuenta de la víctima y requiere cambiar la contraseña inmediatamente. Una vez escribe el correo, contraseña actual y código de seguridad, el atacante puede mostrar otra página donde la víctima puede cambiar la contraseña, aunque en realidad no esté haciendo nada.
Mientras tanto, los atacantes pueden hacerse con el control de la cuenta cambiando la contraseña y descargar toda la información.
Los ‘token’ por SMS no son seguros
La verificación en dos pasos es la forma más segura que existe actualmente para evitar accesos a servicios de internet. Además de tu contraseña actual, requiere un segundo código que recibes en un dispositivo que tienes delante.
Pero los códigos SMS no son la mejor opción. Existe un método por el que hackers se hacen pasar por el dueño de un número móvil donde se reciben los códigos de seguridad y así acceder cuentas.
Ahora mismo la mejor opción en cuanto a la verificación en dos pasos es usar aplicaciones como Authy, Google Authenticator o Microsoft Authenticator.
Un nivel superior de protección es el uso de llaves USB que generan internamente los códigos. Estas llaves se pueden usar en prácticamente cualquier navegador o Smartphone y, por ejemplo, Google tiene Titan aunque por ahora no se puede adquirir en España.
Las más famosas son las llaves Yubikey donde hay modelos tradicionales USB, con USB-C o incluso que funcionan con NFC para utilizarlas con smartphones Android o iPhone.