Llegamos a ustedes gracias a:



Columnas de opinión

4 fraudes que ilustran el problema de la autenticación unidireccional

Por: Roger A. Grimes, columnista de CSO especializado en seguridad

[27/08/2018] La mayoría de las personas se sorprenden de lo fácil que es piratear la autenticación de dos factores (2FA, por sus siglas en inglés) y multifactor (MFA, por sus siglas en inglés). No es difícil. A veces es tan fácil como un correo electrónico de phishing regular.

La pregunta número uno es cómo los usuarios de 2FA pueden protegerse mejor. Por supuesto, depende de las fortalezas y debilidades del método 2FA utilizado en el escenario de implementación particular. Todo lo que se necesita en muchos de los escenarios de piratería, es usar y requerir autenticación mutua bidireccional en una relación vinculada de uno a uno donde el cliente y el servidor se autentican entre sí antes de realizar transacciones comerciales.

Desafortunadamente, el mundo digital y el mundo real están llenos de autenticación unidireccional, donde el servidor se autentica al usuario, o los usuarios se autentican en el servidor.

La demostración en video de Kevin Mitnick (mostrada a continuación) es un gran ejemplo de lo fácil que es piratear la autenticación unidireccional.

https://www.youtube.com/watch?v=xaOX8DS-Cto

En la demostración de Kevin, el usuario se está autenticando en el servicio utilizando un inicio de sesión de 2FA, pero el servidor no se está autenticando a sí mismo con el usuario. Como el usuario no se da cuenta de que su enlace de inicio de sesión no está encriptado con HTTPS en el sitio legítimo, se engaña al permitir que un proxy 'man-in-the-mid' capture sus respuestas de inicio de sesión y cookies de sesión válidas. Una solución de autenticación mutua bidireccional, como Universal Second Factor (U2F, por sus siglas en inglés) de FIDO Alliance, evitaría ese tipo de ataque.

La falta de autenticación mutua requerida, consistente, vinculada y uno a uno es la causa de muchos escenarios de ataque de autenticación. El problema no es solo digital. Se está convirtiendo cada vez más en un problema del mundo real, y uno que todos los proveedores deben abordar. Estos son algunos ejemplos del problema de autenticación unidireccional.

Estafa de soporte técnico de medios sociales

Las falsas ofertas de soporte técnico en las redes sociales son un problema creciente. No me refiero a cuando alguien llama a su teléfono y afirma que tiene un virus que lo ayudará a eliminar. Eso es la vieja escuela. Estoy hablando de una nueva táctica escolar donde casi no tiene idea de que lo están engañando.

Por lo general, comienza cuando alguien publica una crítica negativa sobre un producto o servicio en Facebook o en algún otro servicio de redes sociales. A menudo es el sitio legítimo del proveedor en las redes sociales. Luego, alguien que dice representar a la compañía se comunica, generalmente en las redes sociales, y dice que lo ayudarán. Todo lo que necesita hacer es proporcionar su información de cuenta relevante y ellos estarán encantados de darle un reembolso o un reemplazo.

Por supuesto, lo que realmente sucede es que le roban a ciegas. Las defensas escépticas normales de las personas están inactivas, porque el estafador no se limitó a contactarlas de la nada al hacer un reclamo del que el usuario no estaba enterado. Pase esta advertencia porque este tipo de estafa está despegando en popularidad.

Troyanos bancarios

Aquí hay otro ejemplo similar. Algunos troyanos bancarios, después de instalarse en su computadora, miran todo lo que escribe. Cuando escribe la palabra "banco" en la URL de un navegador, se despiertan y comienzan a interferir con su experiencia de banca en línea. Suelen hacer que el navegador parezca ir muy lento o detenerse.

Luego, el troyano aparece en una ventana que simula ser un representante de servicio al cliente del banco. Lo lamentan por su sitio web y los problemas que está teniendo. Quieren ayudarlo a completar su transacción en línea, y todo lo que tiene que hacer es proporcionar su número de cuenta y otra información relevante. Que agradable.

Falsa atención al cliente y otras llamadas

Las llamadas falsas han ido creciendo en popularidad durante una década. Acabo de recibir múltiples llamadas repetidas de robo de "la policía", alegando que tenía cuatro cargos graves pendientes en mi contra, y que necesitaba llamar lo más pronto posible para encargarme del asunto. La semana pasada, recibí una llamada del "IRS" solicitándome que fuera al Walmart local para obtener algunas tarjetas "green dot para pagar mi multa "muy grande y sustancial" por presentar mis impuestos fraudulentamente.

Soy tan escéptico con respecto a cualquier transacción unilateral autenticada que me niego a hacer negocios con cualquier vendedor en línea o en el mundo real sin obtener primero pruebas contundentes de que estoy tratando con un vendedor real con detalles reales de transacciones.

Recientemente, sonó mi teléfono y la persona del otro lado dijo que estaban con mi compañía de cable local. Tenían un nuevo acuerdo en el que podía obtener una velocidad de Internet más rápida, más canales premium y pagar menos por mes. "Es un trato especial para nuestros clientes más valiosos". ¿Quién no querría cosas mejores por menos? Dije, claro, lo tomaré.

Luego me pidieron la contraseña o el PIN de mi cuenta para poder completar la transacción.

Inmediatamente me volví escéptico, porque no tenía forma de saber si este teleoperador funcionaba para mi compañía de cable local o no. Obtuve cero autenticación real de ellos. Les pedí que me dijeran cuál era mi número de cuenta, cuál era mi PIN, o cualquier otra información sobre mi cuenta más allá de mi domicilio, que cualquiera pudiera consultar antes de darles mi PIN.

Me respondieron que no podían acceder a mi información personal hasta que les diera mi PIN ... que solicitar mi PIN era la forma en que protegían mi información personal. Me negué a darlo directamente, y en un punto muerto, les dije que colgaría, llamaría al número principal de la compañía de cable, pediría hablar con el área de ventas, y trataría de obtener el trato de esa manera.

No estoy renunciando a darle mi información de identificación personal a nadie sin primero verificar su legitimidad, y usted tampoco. Si decide que está siendo demasiado escéptico y necesita confiar más, sepa que a veces puede perder mucho dinero.

Estafas de transferencia bancaria

Recientemente cerré el negocio de una nueva casa. Al final de cada compra de una casa en los Estados Unidos, los compradores deben enviar el dinero a los vendedores, o sus representantes (o compañías inmobiliarias). El fraude de transferencias bancarias ha sido desenfrenado en la industria de venta de viviendas e hipotecas durante una década. El representante de mi banco me contó una historia tras otra sobre clientes con los que había trabajado que habían sido estafados con decenas y cientos de miles de dólares de su efectivo duramente ganado, y la mayoría nunca lo recuperaron.

La estafa suele ser algo como esto. El estafador irrumpe en una de las compañías involucradas en la venta de la casa, a menudo la compañía de la agencia de título que está cobrando el pago del comprador para distribuirlo a todas las personas (por ejemplo, agentes de bienes raíces) que obtienen su parte del producto. El estafador se entera de toda la información que puede sobre todas las ofertas pendientes, y luego envía a esos compradores un correo electrónico que parece ser de la compañía de títulos solicitando que la transferencia bancaria se envíe a un nuevo banco.

El comprador no tiene manera de saber que el correo electrónico es falso. Viene de una empresa con la que han estado haciendo negocios y, a menudo, de la misma persona con la que han estado trabajando. Ellos telegrafían el dinero a un nuevo banco. La compañía de títulos no sabe que esto sucedió, y cuando todos aparecen en el momento del cierre, se le pide al comprador la cantidad final de dinero, solo para saber que han sido estafados. Este escenario ocurre literalmente todos los días.

Cuando recibí mis "instrucciones de transacción" en un correo electrónico, llamé a mi agencia de títulos usando su número de teléfono listado públicamente (y no el que aparece en las instrucciones de transferencia del cableado). Luego pregunté por el gerente y confirmé que el empleado enumerado en las instrucciones era válido, y luego solicité hablar con el empleado. Le pedí al empleado que verificara los detalles de la transacción del depósito, lo cual hizo. Luego hice algo que ella dijo que nunca le habían preguntado antes.

Le pedí que describiera la ubicación física de la segunda oficina de su empresa en la misma ciudad, ya sea independiente o con otras tiendas, y así sucesivamente. Ella describió con precisión la segunda ubicación. Me preguntó por qué, y le contesté que es poco probable que los estafadores supieran cuál era la ubicación física de su empresa (a menos que se hubieran preparado con anticipación), pero aún menos con la idea de conocer alguna ubicación secundaria.

Pude haber preguntado cualquier hecho irrelevante que el agente legítimo y yo supiéramos, como el color del automóvil del agente o el nombre de la pizzería junto a su ubicación comercial principal. Cualquier cosa que una persona legítima pueda verificar, y que un estafador probablemente no sabría, fue suficiente para darme la confianza adicional para transferir el dinero ganado con tanto esfuerzo.

Esto puede parecer extra paranoico, pero si habla con las personas que han sido estafadas por transferencias fraudulentas, desearían haber usado esta verificación.

Lo que todo vendedor necesita hacer

El problema es que necesitamos una autenticación mutua, verificada en ambos sentidos, tanto del cliente como del proveedor, antes de que el cliente proporcione información de identificación personal (PII, por sus siglas en inglés). No hacerlo conduce a estafas fraudulentas y caras. Los clientes deben comenzar a pedirles a sus proveedores que prueben su identidad antes de solicitar la PII, y los proveedores deben implementar procesos para que los clientes puedan estar seguros de que el proveedor es quien dicen ser.

Mis instrucciones de transacción vinieron con un mensaje de que indicaba que debía estar alerta de los fraudes en operaciones bancarias, y con un número al que llamar para verificar que mis instrucciones de cableado fueran reales. No puede confiar en esa información. Es por eso que llamé al número principal de la empresa que está publicado en la web para comenzar el proceso. Eso es lo básico para evitar un fraude.

Los proveedores deben autenticarse de forma verificable a sus clientes con mayor frecuencia, tanto en el mundo digital como en el real, porque como puede ver en los ejemplos anteriores, todas estas transacciones involucraron recursos tanto reales como digitales. Quedan pocas transacciones en el mundo real. La mayoría de las transacciones del mundo real implican pagos digitales, recopilación de información o autenticación sobre algo.

Las consecuencias de que los proveedores no proporcionen o requieran autenticación mutua, tanto para el cliente como para el servidor, para todas las transacciones que involucren personalmente a los clientes son sustanciales. Los clientes estafados, que cada vez son más, tendrán menos probabilidades de hacer negocios con compañías que no proporcionan una mejor autenticación mutua. Simplemente eliminarán los correos electrónicos.

Los proveedores deben crear más procesos de fomento de la confianza del cliente en sus transacciones diarias, tanto en línea como en el mundo real. Funciona para hacer que los escenarios de autenticación de dos factores sean más seguros, y también puede funcionar en el mundo real.

Como columnista especializado en seguridad, Roger A. Grimes es un colaborador de CSO con más de 40 certificaciones. Es autor de ocho libros sobre seguridad informática. Ha estado luchando contra el malware y los hackers malintencionados desde 1987, comenzando con el desmontaje de los primeros virus DOS. Actualmente ejecuta ocho honeypots para rastrear el comportamiento de los hackers y malware, y es consultor de empresas que van desde las Fortune 100 a pequeñas empresas.