• Tweet

30% de los ataques a sitios web que usan autenticación de dos factores están utilizando técnicas de man-in-the-middle en tiempo real para sobrepasar los mecanismo de seguridad implementados, de acuerdo a Trusteer. Estos hallazgos son basados en el monitoreo de cientos de ataques de phishing.

De acuerdo a Mickey Boodaei, presidente de Trusteer, en un ataque de phising en tiempo real el usuario introduce información en un sitio de phishing que captura las credenciales de autenticación. Estas credenciales robadas son utilizadas inmediatamente para abrir una sesión en el sitio web del banco y cometer un fraude.

Los datos que se capturan en un ataque de este tipo son los siguientes: passwords de una sola vez (OTP), tokens y mensajes SMS de autenticación que resultan inefectivos.

Casi todos los ataques de phishing son estáticos, es decir, la victima visita el sitio web del atacante, ingresa sus credenciales de acceso y éstas son almacenadas para ser utilizadas después. La introducción de autenticación de dos factores en los portales (especialmente los passwords de un solo uso) inutilizó estos ataques, ya que los passwords de un solo uso caducan en un corto periodo de tiempo.

Los atacantes han reaccionado a los nuevos mecanismos de seguridad implementando el ataque denominado man-in-the-middle phishing o real-time phishing, el cual consiste en conectar el ataque de man-in-the-middle para capturar las contraseñas, credenciales OTP y demás formas de autenticación, para luego usarlas para conectarse al banco con una sesión fraudulenta.

Una inspección minuciosa del sitio web del atacante ha determinado que este se conecta en tiempo real al banco y cualquier información que se introduzca en la página falsa se enviará al sitio web del banco.

Muchas organizaciones que usan autenticación de doble factor no hicieron caso de los ataques de phising porque creyeron que estos no podían sobrepasar sus controles de seguridad. Como se ha visto, esto ya no es cierto porque con los ataques de phishing en tiempo real los atacantes pueden ingresar a los sistemas de manera fraudulenta utilizando credenciales robadas.

En conclusión con los ataques de phishing en tiempo real las soluciones de autenticación de doble factor son inefectivas y la mejor forma de defenderse es implementando capas dinámicas de seguridad que se puedan adaptar y a la vez bloqueen las nuevas amenazas.