La autenticación de doble factor (2FA) es una característica de seguridad que se ha convertido en una práctica estándar en la seguridad online. Requiere que los usuarios verifiquen su identidad utilizando una segunda forma de autenticación, generalmente una contraseña de un solo uso enviada por mensaje de texto, correo electrónico o una aplicación de autenticación.
Esta capa adicional de seguridad tiene la intención de proteger las cuentas de los usuarios incluso si sus contraseñas se ven comprometidas. Sin embargo, los estafadores han desarrollado formas de engañar a los usuarios para que revelen estos OTP, lo que les permite eludir las protecciones de 2FA.
Un bot de OTP es una herramienta utilizada por los ciberdelincuentes para interceptar OTPs a través de técnicas de ingeniería social. Por lo general, los atacantes intentan obtener las credenciales de inicio de sesión de la víctima a través de phishing o filtraciones de datos y, a continuación, inician sesión en la cuenta de la víctima, lo que desencadena el envío de una OTP al teléfono de la víctima. Después, el bot de OTP llama a la víctima, haciéndose pasar por un representante de una organización de confianza, y utiliza un diálogo preescrito para persuadir a la víctima de que comparta el OTP. Finalmente, el atacante recibe el OTP a través del bot y lo usa para acceder a la cuenta de la víctima.
Los estafadores prefieren las llamadas telefónicas sobre los mensajes porque estas aumentan las posibilidades de que la víctima responda rápidamente. El bot puede imitar el tono y la urgencia de una llamada legítima, haciéndola más convincente.
En este sentido, los atacantes gestionan los bots de OTP a través de paneles online especiales o plataformas de mensajería como Telegram. Estos bots vienen con varias características y planes de suscripción. Además, se pueden personalizar para hacerse pasar por diferentes organizaciones, usar varios idiomas e incluso elegir entre voces masculinas y femeninas. Las opciones avanzadas incluyen la suplantación del número de teléfono, lo que hace que hace que el identificador de llamadas parezca provenir de una organización legítima.
Antes de utilizar un bot de OTP, los estafadores necesitan robar las credenciales de la víctima. A menudo utilizan páginas web de phishing que se parecen a páginas de inicio de sesión legítimas de bancos, servicios de correo electrónico u otras cuentas online. Cuando la víctima introduce su nombre de usuario y contraseña, los estafadores capturan esta información en tiempo real.
La investigación muestra el impacto significativo de estos ataques de phishing y bots de OTP. Desde el 1 de marzo hasta el 31 de mayo de 2024, los productos de la compañía evitaron 653.088 intentos de visitar sitios generados por kits de phishing dirigidos al sector bancario, cuyos datos a menudo se utilizan en ataques con bots de OTP. Durante el mismo período, la tecnología de Kaspersky detectó 4.721 páginas de phishing generadas por los kits que están dirigidos a eludir la autenticación de dos factores en tiempo real.
“El uso de la ingeniería social puede ser increíblemente complicado, especialmente con el uso de bots de OTP que pueden imitar llamadas reales de representantes de servicios legítimos. Para estar alerta, es crucial mantenerse vigilante y seguir las mejores prácticas de seguridad”, comenta Olga Svistunova, experta en seguridad de Kaspersky.
Aunque 2FA es una medida de seguridad importante, no es infalible. Para protegerse de estas estafas sofisticadas, los expertos en ciberseguridad recomiendan:
- Evita abrir enlaces sospechosos que lleguen por correo electrónico. Si necesitas iniciar sesión, escribe la dirección manualmente o utiliza un marcador.
- Asegúrate de que la dirección de la página web sea correcta y no contenga errores tipográficos antes de introducir tus credenciales. Utiliza Whois para verificar la web: si se ha registrado recientemente, es probable que se trate de un sitio fraudulento.
- No pronuncies ni introduzcas el código de un solo uso por teléfono, por muy convincente que suene la persona que llama. Los bancos reales y otras compañías nunca utilizan este método para verificar la identidad de sus clientes.