Kevin Mitnick Autenticacion Dos Factores1

La cantidad de veces que los expertos en seguridad informática nos han advertido sobre lo vulnerables que pueden ser ciertas contraseñas parecen no ser suficientes. Muchos usuarios continúan siendo el blanco predilecto de los hackers a través de sus credenciales, y es que, pese a los avances tecnológicos que están impulsando otras formas de proteger nuestra información, la mayoría de las personas aún deben lidiar con las contraseñas.

Una de las formas más sencillas de administrarlas es la autenticación de dos factores (2FA), sin embargo, parece que pasar por alto esta medida de seguridad es bastante simple. Así lo afirma el famoso hacker Kevin Mitnick, experto en hackeos de la compañía de seguridad KnowBe4, quien demostró lo fácil que es obtener los datos de un usuario de LinkedIn.

A través de un video, Mitnick explica cómo redirigir los usuarios hacia un sitio web falso similar al de LinkedIn y utiliza la autenticación de dos factores contra ellos mismos para robar sus contraseñas. El experto pudo lograr el acceso a través de Evilginx, una herramienta de phishing creada por el investigador Kuba Gretzy, quien explicó anteriormente cómo funciona en una publicación de breakdek.org.

Ahora bien, Mitnick afirmó que se necesita un correo electrónico cuya dirección se vea legítima, de forma que el destinatario no verifique el dominio desde el cual fue enviado. Por ejemplo, en la demostración, Mitnick usó linked.com en vez de linkedin.com.

Luego, al hacer clic sobre el botón ‘Interesado’, el usuario accede al sitio web de phishing, donde la mayoría de los usuarios no se dan cuenta de lo que está ocurriendo, ofreciendo su información e iniciando sesión. Esto activa el control de 2FA, donde al ser ingresado el código correcto, se crea una cookie de sesión que ofrece acceso seguro al sitio.

Durante este proceso se puede robar el nombre del usuario, su contraseña y las cookies de sesión para la cuenta de LinkedIn. De hecho, ni la contraseña y el usuario terminan siendo necesarios, ya que Mitnick simplemente abre el navegador de Google Chrome, se dirige a LinkedIn, pega las cookies de inicio de sesión en los campos correspondientes y se otorga el acceso.

Evidentemente, esta demostración se hizo con la finalidad de demostrar que la autenticación de dos factores es un método de seguridad débil. En este sentido, si las personas no verifican bien a qué sitios web están ingresando para dar sus datos, no hay medida de seguridad que responda correctamente para proteger sus contraseñas.