En un esfuerzo por facilitar el acceso y mejorar la experiencia del usuario, muchas plataformas digitales han comenzado a reemplazar las contraseñas tradicionales con un sistema de inicio de sesión basado en códigos de un solo uso enviados por correo electrónico o SMS.
Aunque esta práctica pueda parecer moderna, eficiente y segura, en realidad representa una seria amenaza para la seguridad de las cuentas online. Y lo que es más preocupante: esta amenaza ya está causando estragos en comunidades enteras de usuarios, especialmente los de Minecraft y otros juegos online.
¿Cómo funciona este método de acceso?
El método de inicio de sesión basado en códigos de un solo uso (One-Time Passcode, OTP) ha ganado popularidad como alternativa a las contraseñas tradicionales. La propuesta es sencilla y tiene un aire de modernidad y conveniencia:
- El usuario accede a la página de inicio de sesión de un servicio.
- Introduce únicamente su dirección de correo electrónico o número de teléfono.
- El sistema le envía un código temporal (por ejemplo, de 6 dígitos) a través de correo electrónico o mensaje SMS.
- El usuario introduce el código en la web y accede directamente a su cuenta.
Este enfoque se conoce como autenticación passwordless (sin contraseña), y se nos vende como un avance en términos de comodidad para el usuario. Además, grandes empresas tecnológicas como Microsoft, Google e incluso plataformas bancarias ya han comenzado a implementarlo en algunos de sus servicios.
El principal atractivo de este método radica en su aparente sencillez y que ofrece la opción de suprimir el estrés de recordar largas y complejas contraseñas. También es cierto que cierra las puertas a ciertos vectores de ataque tradicionales como los ataques de fuerza bruta o el relleno de credenciales (credential stuffing), ya que no se almacena una contraseña estática en los servidores que pueda ser reutilizada o robada.
Desde el punto de vista técnico, este modelo también se apoya en mecanismos que aseguran que el código enviado solo pueda usarse una vez y que tenga una validez temporal limitada (usualmente unos minutos), y esto genera una sensación de seguridad adicional.
Sin embargo, esta ilusión de seguridad se desmorona rápidamente en la práctica, especialmente cuando:
- El servicio no verifica adecuadamente la identidad de quien solicita el código.
- El usuario desconoce qué implica compartir un código OTP.
- El entorno donde se introduce el código no es el sitio original (como Discord u otras plataformas ajenas al proveedor del servicio).
Y es aquí donde este método, diseñado para simplificar, se convierte en el talón de Aquiles de miles de cuentas digitales, especialmente cuando se mezcla con ingeniería social y plataformas con fuerte presencia juvenil, como Minecraft o Discord.
¿Cuál es el problema con este método?
Lo cierto es que este método facilita enormemente los ataques de suplantación de identidad (phishing). ¿Por qué?
En primer lugar, porque cualquiera puede iniciar el proceso de verificación con tu correo: un atacante solo necesita conocer tu dirección de correo electrónico (algo que suele ser público o fácil de adivinar).
Luego, accede a la página oficial de inicio de sesión del servicio —por ejemplo, Microsoft— y solicita un código de acceso de un solo uso. Este código legítimo será enviado a tu bandeja de entrada, como si tú hubieras iniciado el proceso de inicio de sesión.
Tú no entiendes por qué te ha llegado este e-mail o SMS (un problema agravado por el hecho de que los correos electrónicos que contienen los códigos no indican claramente su propósito)... pero, entonces, el atacante contacta contigo, normalmente a través de Discord, y te pide ese código, haciéndose pasar por un bot de verificación o un administrador de servidor.
Si caes en la trampa y le das ese código, le estarás entregando acceso completo a tu cuenta, sin que él haya necesitado conocer tu contraseña. Como el código es real y el sitio de origen también, resulta muy difícil detectar la estafa antes de que sea demasiado tarde.
Además, con este sistema, los gestores de contraseñas no pueden protegerte: en los ataques tradicionales, los gestores detectan URLs maliciosas o autocompletan contraseñas sólo en sitios legítimos. En este nuevo modelo, como el usuario nunca escribe una contraseña y el sistema legítimo es el que emite el código, no hay manera de saber si el código está siendo usado correctamente.
Casos reales
Esta vulnerabilidad no es una mera posibilidad teórica. Ya existen varios ejemplos documentados de los que empiezan a hacerse eco las comunidades online (desde los foros de Microsoft a YouTube).
Una de las tácticas más comunes descritas en varios foros como Reddit consiste en invitar a jugadores a un servidor de Discord que parece legítimo, con bots y verificación. Se les pide introducir su correo de Microsoft y luego el código de 6 dígitos que recibirán en su correo. Muchos creen que están verificando su cuenta para acceder al servidor, pero en realidad están entregando el código de acceso a su cuenta de Microsoft a los estafadores.
Resultado: el atacante cambia la dirección de correo de la cuenta, borra o reemplaza la información que podría usarse para recuperarla en caso de pérdida de acceso (número de teléfono asociado, preguntas de seguridad), y el propietario legítimo pierde el acceso permanentemente.
Además, según el testimonio de un youtuber, los atacantes utilizan Webhooks de Discord para automatizar el robo de cuentas una vez obtienen el código. Así, los datos de la víctima son reemplazados por los del estafador en cuestión de minutos.
¿Por qué no se habla más de esta estafa?
Una de las razones es que los actores maliciosos utilizan canales y sistemas legítimos. El correo de Microsoft que contiene el código, por ejemplo, parece auténtico... porque lo es: el código no viene de un sitio falso. La manipulación ocurre cuando la víctima, por ingenuidad o falta de información, entrega ese código al estafador.
Además, muchos afectados son menores de edad o usuarios menos familiarizados con prácticas seguras en Internet. Esto los convierte en blancos fáciles y en víctimas silenciosas.
¿Cómo prevenir estos ataques?
- Nunca entregues códigos de verificación a terceros. Ningún servidor de Discord o sitio debería pedirte un código enviado a tu correo personal. Si alguien te lo solicita, es una estafa.
- Educa a otros usuarios, especialmente jóvenes. Muchos de los afectados son adolescentes. Compartir esta información puede evitar que más personas caigan.
- Verifica siempre el propósito de los códigos que recibes. Si recibes un código inesperado de Microsoft, ignóralo. Y si tú mismo lo has solicitado, asegúrate de ingresarlo solo en el sitio original, no en Discord o servicios externos.
- Usa contraseñas seguras y sistemas de autenticación multifactor reales. Aunque parezca contradictorio, volver a usar contraseñas fuertes y seguras es, hoy por hoy, más seguro que depender exclusivamente de códigos de un solo uso sin contraseña.
Vía | Daniel Huang
Imagen | Marcos Merino mediante IA
-
La noticia "Estamos sustituyendo las contraseñas por algo peor": así facilitan los códigos de un solo uso nuevos tipos de ataque fue publicada originalmente en Genbeta por Marcos Merino .
☞ El artículo completo original de Marcos Merino lo puedes ver aquí
No hay comentarios.:
Publicar un comentario