Saltar al contenido
ᐅ HielosMendez – Información digital que te dejara helado 🧊🥶

Esta herramienta puede piratear sus cuentas incluso con autenticación de dos factores

Internet es un lugar peligroso, repleto de personas sospechosas que buscan robar su información personal. Habilitar la autenticación de dos factores (a veces llamada verificación de dos factores) es una de las mejores formas de mantener seguras sus cuentas en línea. Sin embargo, el famoso pirata informático Kevin Mitnick muestra cómo incluso esta medida de seguridad no puede proteger completamente sus datos si no permanece constantemente alerta.

El hack en cuestión no fue desarrollado por Mitnick, quien trabaja como Director de Hacking para la firma de seguridad KnowBe4. El crédito por eso es para el amigo de Mitnick y hacker de sombrero blanco, Kuba Gretzky. La herramienta se conoce como evilginx y hace factible el phishing incluso cuando el objetivo utiliza autenticación de dos factores. Es esencialmente un ataque man-in-the-middle, pero usa proxy_pass y sub_filter para modificar y capturar el tráfico HTTP. Requiere un servidor HTTP Nginx y cierta familiaridad con Debian Linux. Mucha gente tiene la experiencia necesaria para hacerlo.

Puede obtener un resumen técnico completo de evilginx en el sitio de Gretzky, pero Mitnick tiene una demostración en video agradable y digerible de la herramienta en acción (incluida a continuación). Utiliza LinkedIn como ejemplo, pero podría usarse en Google, Facebook y cualquier otra cosa que use un inicio de sesión estándar de dos factores. El ataque comienza de la misma manera que todos los ataques de phishing: con un correo electrónico ingeniosamente diseñado. Tienes que convencer al objetivo de que haga clic en un enlace que carga tu sitio, que se hace pasar por la página que espera tu objetivo. En este caso, es LinkedIn.

Robar un nombre de usuario y una contraseña como este es simple porque no cambian. Un código de dos factores cambia cada pocos segundos, por lo que tomarlo de su página falsa no tiene sentido. Usando evilginx, Mitnick muestra cómo la página captura no el código 2FA sino la cookie de sesión. Eso identifica al usuario en un sitio, lo que permite al atacante acceder a su cuenta de inmediato.

Mitnick continúa mostrando cómo puede cargar la cookie de sesión manualmente a través de la consola de desarrollo de Chrome, que solo requiere unos pocos clics. Luego, todo lo que necesita hacer es volver a cargar la página y LinkedIn muestra la sesión iniciada. No es necesario que ingrese un nombre de usuario, contraseña o incluso el código 2FA.

Gretzky ha publicado el código de su truco 2FA en GitHub, por lo que todos tienen acceso a él. Eso significa que las personas podrían intentar usarlo con fines de phishing, pero los investigadores y educadores de seguridad también pueden ayudar a proteger a los usuarios. Solo sirve para mostrarte; incluso la autenticación de dos factores no lo protegerá de sus propias malas decisiones.

Ahora lea: Los 20 mejores consejos de privacidad para mantenerse anónimo en línea