Los hackers pueden eludir la autenticación de dos factores si no tienes cuidado
Dado que los hackers buscan por todos los medios acceder a tu información personal mediante todo tipo de estrategias de phishing, es fundamental tomar todas las precauciones necesarias para proteger tus datos.
La autenticación multifactor (MFA) es una forma de reforzar la seguridad de la cuenta, pero debe emplearse correctamente. Aun así, debes estar atento a las solicitudes maliciosas que proporcionan a los ciberdelincuentes los códigos necesarios para iniciar sesión fácilmente.
La autenticación de dos factores puede verse comprometida
En primer lugar, cabe recordar que la autenticación de dos factores (2FA) y la multifactorial no son necesariamente iguales. La 2FA utiliza exactamente dos factores para verificar el inicio de sesión de un usuario, y ambos pueden ser algo que el usuario conoce, como su contraseña más un PIN o un código SMS. La MFA, por su parte, requiere al menos dos factores independientes, como una contraseña (factor de conocimiento) más una identificación biométrica (factor de identidad) o una contraseña de un solo uso basada en tiempo (factor de posesión) de una aplicación de autenticación.
Los factores de conocimiento (y algunos de posesión) pueden suplantarse con relativa facilidad, por lo que los códigos de 2FA enviados por SMS son la peor opción para la autenticación, especialmente si existen alternativas. Los cibercriminales también podrían intentar engañarte para que interactúes con solicitudes falsas de 2FA.
Cómo identificar solicitudes maliciosas de 2FA
Una forma en que los hackers evaden la 2FA es agobiándote con repetidas solicitudes de autenticación, una táctica conocida como bombardeo de mensajes. Puedes recibir docenas, incluso cientos, de notificaciones push en tu teléfono en poco tiempo o a altas horas de la noche, cuando es menos probable que estés pensando con claridad. Los cibercriminales confían en que, si te molestas lo suficiente, acabarás aprobando una. No lo hagas. Si recibes una solicitud de 2FA cuando no intentas iniciar sesión en ninguna de tus cuentas, es una señal de alerta instantánea.
Otra señal de un mensaje malicioso es que el intento de inicio de sesión provenga de un dispositivo o una región desconocidos; por ejemplo, una notificación de Google para un equipo Windows cuando se es usuario de Mac o una ubicación en un país completamente diferente. También debes tener cuidado con los mensajes emergentes que solicitan permisos no relacionados con la aplicación o el servicio en sí, como la posibilidad de acceder a todos los contactos del dispositivo.
Los hackers también podrían contactarte por teléfono, SMS o correo electrónico para solicitar tus códigos SMS de 2FA. Es fácil falsificar números de teléfono y direcciones de correo electrónico, así que no confíes en el identificador de llamadas ni en el remitente, aunque parezca legítimo. Las empresas no te llamarán sin que tú lo solicites para pedirte tu contraseña o código de autenticación, así que cuelga o ignora estos mensajes.
En resumen: Si recibes solicitudes de 2FA sospechosas mediante notificaciones push, mensajes de texto u otros métodos, ignóralas y cambia la contraseña de la cuenta correspondiente directamente en el sitio web o la aplicación, nunca a través de la solicitud, ya que esto podría llevarte a un sitio de phishing que podría comprometer aún más tu información. Si interactúas accidentalmente con solicitudes maliciosas, busca indicios de una estafa, como caracteres falsos o similares en las direcciones web y errores ortográficos o gramaticales.
