Los bots OTP son una amenaza relativamente nueva y sofisticada en el
cada vez más amplio mundo de las estafas de Autenticación Multifactor (MFA).
En resumen, un
bot OTOP es un software automatizado
que eluden la autenticación de dos factores, lo que provoca una pesadilla de
seguridad para los usuarios y los servicios en línea.
Dado que desafían muchas medidas de seguridad convencionales, comprender y
neutralizar los bots OTP se ha convertido en una prioridad para muchas
organizaciones.
La configuración del terreno de autenticación: OTP y 2FA
¿Qué son las contraseñas de un solo uso (OTP)?
Las contraseñas de un solo uso (OTP) son códigos de acceso únicos y de corta
duración que se envían al número de teléfono de una persona para usarse como
una capa adicional de seguridad para transacciones o inicios de sesión en
línea. Por lo general, se envía al número de teléfono registrado o al correo
electrónico de un usuario y se debe ingresar una OTP dentro de un período de
tiempo específico para confirmar la identidad del usuario.
A diferencia de las contraseñas estáticas tradicionales, los OTP son mucho más
difíciles de comprometer porque son dinámicas, de corta duración y caducan
después luego de un solo uso, lo que las convierte en una opción popular para
procesos de autenticación de dos y múltiples factores.
La autenticación de dos factores (2FA) mejora la seguridad al requerir dos
métodos de verificación separados. Por lo general, después de ingresar una
contraseña, los usuarios reciben una contraseña de un solo uso (OTP) para su
número de teléfono a través de SMS, lo que proporciona una segunda capa de
seguridad.
Sin embargo, los robots OTP han surgido como una herramienta para
interceptar estos códigos OTP cruciales, creando un problema de seguridad
apremiante.
El proceso de 2FA implica una combinación de dos factores diferentes: algo que
sabes (como una contraseña), algo que tienes (como tu teléfono) o algo que
eres (como tu huella digital). Esto significa que incluso si un atacante
conoce la contraseña, seguirá necesitando el segundo factor (generalmente un
código de verificación temporal enviado al número de teléfono de su
dispositivo móvil) para acceder a su cuenta.
Ahora que los robots OTP pueden interceptar estos códigos, la eficacia de 2FA
se ve algo comprometida, lo que impulsa el desarrollo de métodos de
autenticación más avanzados y seguros.
¿Qué son los bots OTP?
Los bots OTP son programas de software automatizados que están diseñados
para evitar los sistemas de autenticación de dos factores (2FA).
Los bots OTP se utilizan normalmente para obtener ganancias financieras, como
acceder y vaciar cuentas bancarias o realizar transacciones fraudulentas.
A medida que más y más servicios en línea han implementado 2FA como una capa
adicional de seguridad,
los bots OTP se han convertido en una amenaza más importante
con su capacidad de eludir los métodos de autenticación tradicionales, lo que
facilita a los delincuentes informáticos el acceso a información confidencial
utilizando el número de teléfono de la víctima u con otros métodos.
Comprender los ataques de bots OTP y su impacto
Si bien los bots OTP no son esenciales para que funcionen las estafas OTP,
pueden escalar y mejorar enormemente las tasas de éxito de las estafas
mediante la automatización y una capa adicional de credibilidad. Hay dos tipos
de estafas comunes en las que los bots OTP pueden tener un impacto enorme:
Suplantación de identidad
En un ataque de phishing, la víctima potencial suele recibir un mensaje de
texto o un correo electrónico afirmando que algo anda mal con su cuenta
bancaria con una URL/enlace de apariencia plausible en el que hacer clic. La
estafa suele desarrollarse de la siguiente manera:
-
La víctima hace clic en el enlace, lo lleva a un sitio fraudulento que imita
la página de inicio de sesión del banco e ingresa sus credenciales que el
atacante luego utiliza para acceder al sitio real del banco. -
En esta etapa, el acceso directo a la cuenta bancaria se bloquea debido a la
dirección IP desconocida del atacante, por lo que se inicia un desafío OTP
de autenticación de dos factores (2FA). -
El sitio del estafador solicita a la víctima que seleccione un método 2FA y
envía la elección al banco. -
El banco envía una OTP a la víctima, quien la ingresa en el sitio de
phishing. El atacante utiliza la OTP para obtener acceso completo a la
cuenta bancaria. -
Para evitar sospechas, el estafador puede permitir un acceso transparente al
banco o mostrar un mensaje de error falso. -
Luego, el estafador puede realizar transacciones fraudulentas o recopilar
información financiera de la víctima.
Uso de malware
Como se mencionó, los bots OTP son software automatizado que se clasifican
como malware dada la naturaleza maliciosa de su diseño. En un ataque de
malware, el atacante engañará a la víctima para que instale el bot OTP
(malware) en su dispositivo. Esto a menudo se logra mediante la explotación de
los flujos de restablecimiento de contraseña para sitios que utilizan solo la
validación de PIN OTP como desafío para restablecer la contraseña. Una vez que
el bot OTP (malware) está en el dispositivo de la víctima, puede monitorear
las actividades del dispositivo de la siguiente manera:
-
Los OTP para autenticación, como los inicios de sesión bancarios, se envían
al teléfono del usuario. -
El malware en el dispositivo del usuario detecta y reenvía secretamente la
OTP al atacante. -
El malware avanzado automatiza el proceso: iniciar sesión, interceptar OTP y
completar la autenticación. -
Los atacantes obtienen acceso no autorizado para realizar acciones
maliciosas (transferencia de fondos, robo de datos). -
El malware puede borrar el mensaje OTP para evitar que el usuario lo
detecte. -
Es posible que se instalen malware o puertas traseras adicionales para un
acceso sostenido.
Al automatizar el proceso de interceptación de OTP, estos robots pueden
realizar ataques generalizados, comprometiendo numerosas cuentas rápidamente
y, a menudo, pasando desapercibidos hasta que se desarrolla el daño.
El problema con 2FA
Una de las principales razones por las que los ataques de bots OTP se han
vuelto tan frecuentes es la popularidad de 2FA como medida de seguridad
adicional. Con la creciente popularidad, han surgido nuevos métodos para
eludir este popular método de autenticación. 2FA es ahora un objetivo
lucrativo para los ciberdelincuentes que buscan formas de explotar
vulnerabilidades y robar información confidencial.
Una vez que los atacantes obtienen un OTP, pueden eludir la 2FA, lo que lleva
a la apropiación de la cuenta. Con este acceso no autorizado, los estafadores
pueden participar en actividades maliciosas, incluido el robo de recursos
financieros, datos personales o el uso de la cuenta para otros esquemas
fraudulentos. Esto plantea un riesgo significativo para las personas y también
puede resultar en pérdidas financieras sustanciales para organizaciones e
instituciones.
LLMs e Ingeniería Social moderna
Con las plataformas modernas de IA generativa como ChatGPT 4, las respuestas
automatizadas pueden parecer tan humanas que a menudo se siente como si
hubiera una persona real detrás de la «cortina». La ingeniería social moderna
busca explotar este avance tecnológico increíblemente prometedor (y
desalentador) en el mundo de la tecnología. fraude.
En la ingeniería social tradicional, los atacantes utilizan mensajes
engañosos, para hacerse pasar por el director ejecutivo de una empresa y
solicitar información urgente, o hacerse pasar por un servicio acreditado que
solicita un código de verificación, para engañar a las víctimas y realizar una
estafa. Al «diseñar» sus respuestas a su favor, las víctimas desprevenidas
creen que están asegurando sus cuentas y proporcionarán la OTP o el código de
verificación, lo que sin darse cuenta otorgará a los atacantes acceso a su
información.
Los estafadores experimentan cada vez más con Large Language Models (LLMs)
avanzados (el aprendizaje automático que impulsa la IA generativa) para crear
sistemas automatizados sofisticados capaces de ejecutar ataques de ingeniería
social. Estos robots fraudulentos están siendo diseñados para imitar la
interacción humana de manera más convincente que nunca. Los LLM se basan en
técnicas de fraude «tradicionales» y pueden ampliar enormemente la creatividad
y adaptabilidad de los estafadores.
Los robots con tecnología LLM pueden entablar conversaciones en varios idiomas
e incluso podrían programarse para realizar inteligencia de código abierto
(OSINT) para recopilar datos disponibles públicamente sobre sus objetivos.
Esto les permitiría elaborar mensajes altamente personalizados y convincentes
que lleven la ingeniería social al siguiente nivel de credibilidad.
Los defectos de los OTP basadas en SMS
A pesar de su cifrado, los mensajes de texto SMS pueden interceptarse por
medios técnicos (como robots OTP) o engañando a los representantes de los
servicios de telecomunicaciones, explotando el eslabón de seguridad más débil:
el error humano.
Además, los atacantes pueden secuestrar la tarjeta SIM de la víctima
utilizando técnicas de ingeniería social para hacerse pasar por el usuario y
obtener una nueva SIM con el mismo número (una técnica bastante nefasta
llamada SIM swapping). Luego reciben todos los mensajes SMS entrantes,
incluidos los OTP, esencialmente evitando las medidas 2FA para comprometer las
cuentas de las víctimas.
Para mitigar las vulnerabilidades asociadas con las OTP basadas en SMS, las
organizaciones recurren cada vez más a soluciones OTP basadas en
aplicaciones. En lugar de recibir códigos únicos a través de mensajes de
texto, los usuarios los generan dentro de una aplicación móvil o token de
hardware designado.
SMS Buster
Algunos atacantes han ampliado su mercado para ofrecer servicios de bot OTP a
otros posibles estafadores, como el infame «SMS Buster», por una tarifa de
suscripción. Estos servicios de bots OTP permiten que incluso personas poco
cualificadas lancen ataques, lo que los hace aún más frecuentes.
Los ‘SMS Busters’ pueden leer OTP de mensajes de texto, analizarlos en busca
de OTP e ingresarlos automáticamente en la aplicación de destino. Estos robots
también pueden evitar los desafíos CAPTCHA mediante el uso de la tecnología de
reconocimiento óptico de caracteres (OCR).
El impacto en las organizaciones y redes
Las instituciones financieras son los principales objetivos de los robots OTP.
Los atacantes aprovechan estos robots para realizar transacciones no
autorizadas y transferir fondos sin consentimiento. La automatización y la
escala de estos ataques amplifican los riesgos y las pérdidas potenciales
tanto para los bancos como para los clientes, quienes tal vez no puedan
acceder a sus fondos o sufran pérdidas, sin mencionar el daño a su reputación
y las sanciones regulatorias.
Servicios como Google, PayPal e Instagram son víctimas comunes de los ataques
de bots OTP. Los usuarios suelen vincular detalles financieros con estas
plataformas, lo que las convierte en objetivos atractivos. La capacidad de los
bots para eludir los protocolos de seguridad crea vulnerabilidades en torno a
los fondos de los usuarios y los datos confidenciales.
Estrategias de prevención
Para combatir los bots OTP, las empresas y los servicios en línea deben
implementar fuertes medidas de seguridad que vayan más allá de los métodos
tradicionales 2FA. Estos incluyen métodos de autenticación biométrica, como la
huella digital o el reconocimiento facial, que son más difíciles de eludir
para los robots. Además, las empresas y los servicios deben revisar y
actualizar periódicamente sus protocolos de seguridad para mantenerse a la
vanguardia de la evolución de las tácticas de los bots.
Los usuarios individuales también pueden tomar medidas para protegerse,
incluido cambiar periódicamente las contraseñas y utilizar credenciales de
inicio de sesión únicas y complejas para cada cuenta en línea.
Factores 2FA más fuertes
Agregar capas de seguridad más sólidas puede dificultar que los robots OTP
obtengan acceso a las cuentas de los usuarios. La incorporación de métodos
como la verificación biométrica o tokens de hardware multiplataforma fortalece
y diversifica los puntos de control que conducen al acceso a la cuenta. Esto
dificulta que los bots eludan los protocolos de seguridad y obtengan acceso no
autorizado.
Biometría del comportamiento
La biometría del comportamiento, también conocida como biometría pasiva, es
un método de autenticación emergente que analiza los patrones de
comportamiento del usuario para identificar y verificar a las personas.
Estos incluyen dinámicas de pulsación de teclas, movimientos del mouse,
patrones de deslizamiento y otros comportamientos únicos que son difíciles de
replicar para los robots. Al monitorear continuamente estos patrones de
comportamiento, los servicios en línea pueden detectar actividades sospechosas
y bloquear ataques de bots OTP antes de que comprometan información
confidencial.
Autenticación web y tokens de hardware
La autenticación web funciona mediante el uso de criptografía de clave pública
y tokens de hardware seguros o datos biométricos almacenados en el dispositivo
del usuario, lo que previene eficazmente los ataques de bots OTP. Cuando un
usuario registra una cuenta, el servidor crea un par de claves pública y
privada, con la clave privada o token de hardware almacenado de forma segura
en el dispositivo del usuario y la clave pública almacenada en el servidor.
Durante el inicio de sesión, el servidor envía un desafío al dispositivo del
usuario, que el dispositivo firma con la clave privada. Luego, el servidor
puede verificar la firma con la clave pública almacenada, asegurando que el
usuario, y no un bot, esté intentando acceder a la cuenta. Este procedimiento
eleva significativamente el listón para los atacantes, ya que ahora deben
obtener acceso al dispositivo físico o a los datos biométricos del usuario
para evitar la autenticación, lo que no es tarea fácil.
Fuente:
Stych
Los comentarios están cerrados.