Los robots OTP apuntan a sistemas de contraseñas de un solo uso para piratear las cuentas
Las contraseñas de un solo uso (OTP, del inglés One-Time Password) pueden no ser tan seguras como parecen, ya que el aumento de los bots OTP arroja una oscura sombra sobre lo que debería ser una importante característica de seguridad.
Dado lo comunes que son, la creciente prevalencia de bots OTP dirigidos a estos sistemas es aún más preocupante. Aquí encontrarás todo lo que necesitas saber sobre ellos para mantenerte a salvo de esta amenaza.
¿Qué son las contraseñas de un solo uso?
Para comprender los robots OTP, primero debe comprender las OTP en sí. Como sugiere el nombre, una contraseña de un solo uso es un código de inicio de sesión temporal que se obtiene después de ingresar otras credenciales como una dirección de correo electrónico y contraseña. Por lo general, duran entre 30 y 60 segundos antes de que ya no permitan el acceso a una cuenta.
La idea aquí es detener a las personas que podrían haber robado, adivinado o forzado tu contraseña. Al enviar un código de un solo uso mediante llamada, mensaje de texto o aplicación móvil dedicada, el servicio garantiza que la persona que inicia sesión también tenga acceso a un dispositivo confiable. Robar una contraseña es relativamente fácil, pero no es probable que un delincuente tenga tu contraseña y tu teléfono.
¿Cómo funcionan los robots OTP?
Las OTP se han vuelto tan comunes que algunos teléfonos ahora eliminan automáticamente estos códigos de verificación de la bandeja de entrada. Si bien eso debería significar que tus cuentas en línea son más seguras que nunca, ha convertido a los propios sistemas OTP en un objetivo para los ciberdelincuentes. Los robots OTP apuntan a estos sistemas de dos maneras.
La primera y más común forma en que funcionan los robots OTP es engañando a los usuarios para que revelen sus códigos únicos. Para ello, a menudo se hacen pasar por el servicio al que intentan iniciar sesión. Imagina que un ciberdelincuente intenta iniciar sesión en tu cuenta bancaria en línea. Cuando ingresa tus credenciales, un bot te enviará un mensaje de texto, un correo electrónico o una llamada, haciéndose pasar por el banco y solicitando tu código.
Debido a que los bots actúan inmediatamente, esa solicitud debe llegar al mismo tiempo que el mensaje que contiene tu código, por lo que puede que no parezca sospechoso. Luego puedes responder con la OTP y enviarla accidentalmente al hacker, quien luego puede usarla para acceder a tu cuenta.
La otra forma en que funcionan los robots OTP es interceptando el mensaje OTP antes de que te llegue. Cuando tiene éxito, es menos probable que este método genere alarmas, pero es más difícil de llevar a cabo. Hay una razón por la cual el Informe anual de investigación de vulneración de datos de Verizon encontró que la mayoría de los ataques involucran un elemento humano: las personas suelen ser el eslabón más débil.
Cómo defenderse de los robots OTP
Los ataques de bots OTP son alarmantes, pero puedes detenerlos. Recuerda siempre verificar antes de confiar en algo y opta por no responder a peticiones no solicitadas.
En este contexto, eso significa consultar con tu banco u otro servicio para ver si alguna vez se comunican con OTPs sin que tu hagas nada. La mayoría no lo hace, por lo que generalmente es mejor no responder a una solicitud de OTP si no intentaste iniciar sesión en nada.
Si están disponibles, debe habilitar las funciones MFA (autenticación multifactor) resistentes al phishing, aunque aún no son comunes. La MFA resistente al phishing elimina el elemento humano de la ecuación y, en su lugar, utiliza criptografía y autenticación de dispositivos para verificar los intentos de inicio de sesión. De esa manera, sabrás que cualquier solicitud de OTP es una estafa, ya que el servicio real no las utilizará.
Incluso cuando ese tipo de MFA no esté disponible, es posible que puedas activar factores de identificación distintos de las OTP. La biometría como el reconocimiento facial o el escaneo de huellas dactilares son una gran opción. Si bien es posible eludir la autenticación biométrica, es muy técnica y no tan común como los ataques centrados en contraseñas, por lo que estos factores siguen siendo más seguros que las OTP.
Por último, tienes que estar siempre atento a actividades sospechosas. Si recibes un aviso de un intento de inicio de sesión que no recuerdas o sabes que no fuiste tu, comunícate con el servicio en cuestión de inmediato. De manera similar, cambia tus contraseñas y comunícate con la empresa si notas actividad en alguna cuenta que no recuerdas. Actuar rápido es la clave para detener los ataques antes de que causen mucho daño.
La conciencia es el primer paso hacia la seguridad
Aprender sobre los bots OTP es el primer paso para protegerse contra ellos. Cuando sepas a qué prestar atención, comprenderás cómo mantenerte a salvo.
Recuerda que ningún sistema de seguridad es 100 por ciento confiable. Las OTP y otros métodos MFA son una parte crucial de una buena ciberseguridad, pero no son perfectos. En consecuencia, siempre debes abordar las cosas con precaución y estar atento a actividades sospechosas.