edición general
174 meneos
1167 clics
Un malware en Android consigue saltarse la autenticación de doble factor obteniendo los códigos SMS

Un malware en Android consigue saltarse la autenticación de doble factor obteniendo los códigos SMS

La autenticación de doble factor es una de las medidas más relevantes que podemos tomar a la hora de proteger los datos. Mediante ella se requiere de una segunda confirmación aparte de la contraseña a la hora de realizar un inicio de sesión. Ahora bien, no significa que sea impenetrable. Una nueva investigación refleja cómo un grupo de hackers ha creado un malware capaz de burlar este método de seguridad.

| etiquetas: malware , android , autenticación , sms
74 100 1 K 359 tecnología
38 comentarios
74 100 1 K 359 tecnología
Comentarios destacados:        
sorrillo #1 sorrillo *
El problema de fondo principal es que el móvil se ha convertido en la forma principal para acceder a todo tipo de servicios, incluyendo bancarios. Por lo que tanto la autentificación clásica como la doble autentificación se producen en el mismo dispositivo. El atacante solo necesita atacar a un dispositivo con lo que se pierde gran parte de la protección que ofrece la idea de doble autentificación (dos dispositivos a atacar).

Es mejor que nada, pero se ha normalizado hasta el punto que es…   » ver todo el comentario
6 K 53
#3 --287400--
#1 Bueno, los de Sofort te han ofrecido la misma opción que ya se está usando mucho para sistemas de ahorro como "coinscrap" y que tiene éxito porque la gente acepta dar sus datos.

Y ¿qué es coinscrap? Pues básicamente consiste en un sistema de redondeo al alza de tus compras. Por ejemplo, que si pagas el desayuno en el bar con la tarjeta y te cuesta 1,50€ el sistema apunta 50c para el ahorro. La operativa consiste en que la empresa con la que lo contratas revisa tus compras (de ahí…   » ver todo el comentario
2 K 21
LostWords #22 LostWords
#3 Es decir, el café vale 1,50€ pero ellos te cobran 2€ y mandan 0.5€ a un producto de ahorro.
Ya hay bancos que lo hacen y honestamente, no le veo el sentido mas que para las personas que no saben ahorrar por si mismos. También podrían poner una regla para mover 50€ al inicio del mes a otra cuenta y de manera automática y el efecto es el mismo, pero sin otra aplicación para el móvil.
Me equivoco? funciona de otra manera?
0 K 8
#28 --287400--
#22 No es exactamente así. Si tú café vale 1,50€ ellos "anotan" 50 c para el ahorro. Entonces cuando llevas consumidos 60 cafés y la cantidad "anotada" llega a 30 euros pues te hacen el cargo de 30 euros.

Como tú bien dices ya hay bancos que permiten hacer cosas así desde hace tiempo, pero es tu propio banco el que lo hace, no un tercero al que le has dado tus credenciales de acceso para que lo haga "y de paso conocer todos tus movimientos y sacar una información…   » ver todo el comentario
1 K 15
LostWords #38 LostWords
#28 totalmente de acuerdo. Si mañana los dueños deciden vender esa información y desaparecer, que se lo impide?
0 K 8
squanchy #4 squanchy
#1 En realidad la doble autenticación consiste en algo que te identifique (tu usuario / número de tarjeta / email / etc.), algo que sólo tú sepas (la clave), algo que tengas (el sms / google authenticator / etc.)
1 K 23
Coronel_Kilgore_1 #15 Coronel_Kilgore_1
#4 Y el ataque es un malware que con un phising te planta una pagina cautiva exacta a la de tu banco mientras tecleas la contraseña... mientras el pirata que tiene acceso a tu equipo con el malware la introduce en la pagina real del banco que te envía un sms que es interceptado y redirigido al pirata que accede a tu cuenta limpiandola... no es ciencia ficcion pasa todos los días...
0 K 7
manc0ntr0 #27 manc0ntr0
#15 No hace falta acceso a ningún equipo. El atacante instala la app móvil del banco en su propio equipo y a través del phishing obtiene las credenciales y el OTP que se envía para el segundo factor. Una vez dentro, tiene vía libre para mandar dinero donde le plazca
0 K 6
#14 derp
#1 Existe la loca idea de acceder a través del navegador web, opción infinitamente más segura
0 K 9
#20 txeke
#1 Sofort es seguro. Llevo usándolo un par de años. Es una empresa alemana que, obviamente, tiene acuerdos con bancos para funcionar así; de hecho sólo funciona con los que tiene acuerdos. Hay otras que usan el mismo sistema de funcionamiento, pero no tengo experiencia con ellas.

En su día, cuando vi Sofort por primera vez, también se me dispararon todas las alarmas, pero tras investigar el tema un par de días resolví que es seguro.
0 K 10
Pointman #5 Pointman *
Es algo que no entendí en su momento: ¿Cómo puede considerarse autentificación en dos pasos segura si se hace en el mismo dispositivo?. Si han roto la protección de ese dispositivo, la han roto para ambos "pasos". Siempre pensé que la lógica de este sistema estaba en usar diferentes dispositivos.
5 K 40
#8 portera
#5 los bancos buscan y consiguen seguridad pero para ellos, no para el cliente
1 K 21
#9 j-light
#8 y ni eso creo...a no ser que seguridad sea que la responsabilidad es la de la operadora. A mi me soplaron 5000 pavos en ING, con Vodafone, mediante el sim swapping. En un abrir y cerrar de ojos, me suplantaron el dispositovo.
1 K 22
#21 txeke
#9 ¿puedo preguntar cómo? A mi ING me pide varias posiciones de la clave antes de pedir el código por SMS... puedo entender que te clonen la SIM para recibir el código, pero, ¿y la clave?
2 K 31
#25 j-light
#21 Pues aún me pregunto cómo. El mecanismo con la operadora es "claro": son capaces de cambiar en la operadora una SIM por otra, supongo que a nivel base de datos, es decir, de alguna manera se meten hasta la médula en la operadora y son capaces de cambiar según que cosas.

Pero en el banco, creo que o bien cuentan con información interna, o bien con datos personales que han obtenido por ingeniería social o ambos a la vez y más que no conozco. Porque, efectivamente, hay un PIN que o…   » ver todo el comentario
0 K 8
#26 txeke
#25 hace años trabajé en una empresa que tenía webs de trabajo. Cuando un usuario, fuese empresa o trabajador, llamaba porque había perdido la clave y no podía acceder a su email, lo que hacíamos era colgar y llamar al teléfono que nos constaba en base de datos como suyo.

Que un banco pueda darle acceso a cualquiera que llame respondiendo cuatro preguntas, me parece MUY alarmante.

Como me lo parece que no avisen de un cambio en la clave y/o en el email asociado ANTES de validar dicho cambio. Joder, que esto lo hace hasta Flickr...

Gracias por la información, voy a investigar y, como sea así, adiós ING mañana mismo.
0 K 10
#30 joselix
#26 #25 son ataques en dos frentes. Por un lado consiguen un duplicado de tu SIM hablando con la operadora diciendo que necesitas una nueva con cualquier pretexto. La operadora deberia verificar tu identidad, peeeeero...

por otro lado, en la web del banco que sea usan el correspondiente servicio de recuperacion de pin que muchas veces se basa todo o en parte en contactar con el movil registrado en el sistema... para el que acabas de conseguir una SIM nueva.
1 K 15
#32 j-light
#30 Correcto. Es así de "simple".

Creo que esto es un golpe que tiene gente en el sistema. Muy bajo riesgo y altos beneficios. Si el mismo día roban a 10 como a mi, 50 mil lereles a la buchaca en cuestión de horas.
0 K 8
#33 joselix
#32 en mi experiencia, suele ser dejadez en los procedimientos. Si eres currito por 4 duros en un franquiciado de una operadora y la "fotocopia" del dni que te traen para pedir el duplicado de sim es regulera, te cae mas bronca si la rechazas o ralentizas la cola que si la apruebas y el problema es de otro. y si la operadora no va a penalizar a la tienda....
1 K 15
#31 j-light
#26 Es que te notifican en el móvil...frente al banco, tú eres tu móvil. Si te suplantan el móvil (primer paso del robo), ya tienen tu identidad casi suplantanda. Allí llegan los mensajes, las llamadas...todo. La aplicación está dada de alta en ese número.

El sim swapping básicamente es que son capaces de desviar todo el tráfico destinado a una SIM, a otra SIM que es una copia de la original pero está en otro dispositivo. Todo es digital, es decir, no perdí el teléfono en ningún momento, como…   » ver todo el comentario
0 K 8
#34 txeke
#31 sí, eso lo entiendo.

Lo que decía es que si no te notifican en otro sitio, como un email, me parece gravísimo. Que si te roban el teléfono físico pues ya tienen acceso al email si es que usas el mismo para todo (por ejemplo, yo el que uso para bancos, Transferwise, Hacienda, etc... es uno diferente del de uso común, y diferente del que uso para trabajo). Pero siendo todo "virtual"... lo que yo decía es que hasta Flickr me avisa si "alguien" ha cambiado la contraseña o…   » ver todo el comentario
0 K 10
#36 j-light
#34 Toda la razón respecto a lo que dices. Si le preocupara la seguridad, harían algunas de las cosas que dices.

Fíjate que este tipo de cosas: "Avisos de cualquier cambio de operativa. Aumentar el límite en cajeros es un ejemplo que el Santander me avisa rápidamente por SMS y por mensaje interno (push) a la app, si ING no lo hace, otro motivo para darme de baja de ellos." llegan al ladrón. No a ti. Y no tengo claro que pasaría si quisiesen cambiar la contraseña del móvil. En…   » ver todo el comentario
1 K 18
#37 txeke
#36 lo de quitar las tarjetas de coordenadas ha sido la mayor estupidez del mundo... ¿incómodas? sólo si eres un vago o un inútil. A mi, según me llegaba una nueva, la escaneaba en B/N sin ninguna marca de a qué banco se refería, metida ("disimulada") dentro de una imagen cualquiera y con un nombre no descriptivo y la dejaba en mi Dropbox, que llevo siempre en mi móvil (con PIN de acceso). Muy difícil que alguien se salte el PIN de Dropbox, encuentre el archivo de nombre no…   » ver todo el comentario
1 K 18
atl3 #13 atl3
#5 Porque se supone que la gente no debería darle permisos de leer SMS a una aplicación de linterna...
4 K 42
#16 AdvocatusDiaboli *
#5 En parte entiendo esa crítica, pero se hace a través de dos canales distintos y eso no cambia. Alguien que quiera robarte, necesita ámbos, y además hay una diferencia conceptual entre entrar a una aplicación con algo que sabes (contraseña) y validarla con algo que tienes (móvil). Tampoco importa que tu utilices diferentes dispositvos, para un atacante la diferencia es prácticamente la nula.

Este ataque no es nada nuevo, y es tan viejo, que no le veo relevancia alguna más allá del "todavía pasa".
0 K 7
#6 MichaelLong
Además los dos bancos con los que trabajo han hecho una cosa a mi parecer absurdo, como no permitirte usarte las tarjetas de coordenadas para la doble (o triple) verificación aunque tú quieras y sea más engorroso, así que al final la verificación es por dos canales pero en el mismo dispositivo...
3 K 24
#10 j-light
#6 cosa que no entendi! Por que no ofrecen esa alternativa para quien no quiera operar con movil?
3 K 26
#11 jercas
#6 Ahora casi todos los móviles tienen NFC, lector de huella o reconocimiento facial, los bancos podrían darte una tarjeta o la misma tarjeta debito/credito o con la huella y con ello autentificar. Yo el móvil lo tengo con las aplicaciones que necesito, ni juegos, ni chorradas, le quito el facebook, twiter, amazon, instagram, aplicaciones de google, las de la marca del movil. Al final no te puedes fiar de nada, se hacen con las cuentas y te la lían pero bien gorda, y encima estas vendido porque todos empiezan a pasarse la pelota.
0 K 6
Trigonometrico #23 Trigonometrico
#11 Creo que instalar Facebook en el móvil es estúpido. Pero no descargar algún juego es desaprovechar el móvil.
0 K 13
julespaul #17 julespaul
lo mejor es tener una tablet, que vale poco dinero, solo para las cuentas bancarias.
0 K 8
#19 bitman
#17 y una prepago para vincular la recuperación de contraseñas, que no sea tu cuenta habitual. Así dificultas el SIM Swapping.
1 K 15
villarraso_1 #24 villarraso_1
#17 #19 La tarjeta de coordenadas funciona bastante bien, siempre y cuando no la lleves encima. No haria falta recurrir al SMS.
Para mi lo ideal sería, ¿entras desde aplicación de móvil? Tarjeta de coordenadas. ¿Entras desde la web? Verificación por SMS.
La razón es porque se supone que desde un ordenador entras desde casa, si alguien consigue entrar en ella, puede acceder a la tarjeta de coordenadas. Y lo de la app del móvil, lo mismo, si entro desde el móvil se supone que tengo el móvil, así que recibiría el SMS.
2 K 21
#35 bitman
#24 yo verificación por SMS la quitaría. Metería el Autenticador de Google y tarjeta de coordenadas, las dos. La primera para validar usuario y la segunda para operativa dentro de la aplicación. Y esta tarjeta habría que renovarla periódicamente.
1 K 13
#18 crissis
Si, si... uno.
0 K 7
#2 --287400--
Si la autenticación en 2 pasos está basada en un sms que te envían con un código es perfectamente vulnerable, puesto que si ya las aplicaciones legales son capaces de leerlos un malware también podría hacerlo.
0 K 7
atl3 #12 atl3
#2 Si no le das permisos, no puede.
1 K 17
#29 --287400--
#12 oh, ya claro, pero para algo existe algo que se llama "ingeniería social" para obtenerlos..... De la misma forma que el malware a entrado en tu equipo (la mayor parte de las veces eres tú mismo el que le ha dejado entrar) ha obtenido el permiso.

Prácticamente todas las apps legales que instalas te solicitan X permisos para poder operar.... No tienen más que solicitar esos permisos en el momento que se cuele (estarás instalando alguna otra cosa en ese momento) y te pensarás que le estás dando los permisos a algo legal.
0 K 7
#7 --660218--
Deberían utilizar otras como el lector de huellas del teléfono o leer el iris.

No creo que sea imposible
0 K 6
comentarios cerrados

menéame