A pesar de la adopción generalizada de la autenticación de doble factor (2FA) en sitios web y su implementación obligatoria en empresas, los atacantes no se duermen en los laureles y han desarrollado métodos avanzados que combinan phishing con bots automatizados de OTP para engañar a los usuarios y obtener acceso no autorizado a sus cuentas.
La autenticación de doble factor (2FA) es una característica de seguridad que se ha convertido en una práctica estándar en la seguridad online. Requiere que los usuarios verifiquen su identidad utilizando una segunda forma de autenticación, generalmente una contraseña de un solo uso enviada por mensaje de texto, correo electrónico o una aplicación de autenticación. Esta capa adicional de seguridad tiene la intención de proteger las cuentas de los usuarios incluso si sus contraseñas se ven comprometidas. Sin embargo, los estafadores han desarrollado formas de engañar a los usuarios para que revelen estos OTP, lo que les permite eludir las protecciones de 2FA.
¿Cómo funciona este nuevo ataque? Los ciberdelincuentes obtienen credenciales de inicio de sesión a través de correos electrónicos o sitios web falsos que imitan a organizaciones legítimas. Después usan esas credenciales para iniciar sesión en cuenta, lo que dispara el envío de un OTP a un teléfono móvil. El usuario recibe una llamada de un bot que se hace pasar por un representante de confianza (banco, empresa de telecomunicaciones, etc.) y utiliza un diálogo pregrabado para convencer al usuario para que revele el OTP recibido. Finalmente, el ciberdelincuentes obtiene el OTP y lo usa para acceder a la cuenta, tomando control de la información y posiblemente realizando transacciones fraudulentas.
Dese Kaspersky, que ha identificado este nueva técnica, aseguran que los estafadores prefieren las llamadas a los mensajes de texto porque aumentan las probabilidades de una respuesta rápida y desprevenida ya que el tono y la urgencia de una llamada real son más fáciles de imitar, haciéndola más convincente.
Explica la compañía de seguridad que los ciberdelincuentes gestionan los bots de OTP a través de paneles online especiales o plataformas de mensajería como Telegram. Estos bots vienen con varias características y planes de suscripción. Además, se pueden personalizar para hacerse pasar por diferentes organizaciones, usar varios idiomas e incluso elegir entre voces masculinas y femeninas. Las opciones avanzadas incluyen la suplantación del número de teléfono, lo que hace que hace que el identificador de llamadas parezca provenir de una organización legítima.
