Luego de que Google anunciara el retiro de soporte a su aplicación de autenticación de dos factores (2FA) y empezará a utilizar un dispositivo de llave de seguridad con un sistema de autenticación multifactor o Universal 2nd Factor (U2F), ninguno de los más de 85,000 empleados en la compañía ha sido afectado por ataques de phishing. Esta decisión fue tomada en vista del aumento de ataques reseñados y documentados desde el año 2013, habiéndose triplicado desde ese entonces hasta la fecha.
El fishing actualmente es una de las formas más comunes usadas por los piratas informáticos para robar contraseñas y cualquier otro tipo de datos privados pertenecientes a los usuarios en la red, y lamentablemente el método de autenticación de dos factores también ha sido blanco de la técnica.
Con anterioridad, Google Authenticator se planteó como una mejora a los mensajes de texto empleados para realizar la autenticación de segundo factor, puesto que estos podrían verse seriamente comprometidos y fácilmente interceptado por atacantes, para luego tener acceso a las cuentas de los usuarios.
Tanto Google Authenticator como Authy, la otra opción más popular en la industria para el proceso de verificación, se transformaron posteriormente en la segunda generación de 2FA con el objetivo de corregir las deficiencias de los mensajes de textos que contenían los códigos de seguridad para el inicio de sesión.
Para los casos anteriores, es necesario que los usuarios hagan uso de códigos únicos y aleatorios, generados cada cierto tiempo por una aplicación web o móvil mediante un algoritmo especializado. No obstante, el mecanismo también tiene sus brechas de seguridad al dejar opciones de ataque disponibles, siendo los correos electrónicos y sitios web falsos los más utilizados para perpetrarlos. De esta manera los hackers obtendrán los códigos para ingresar a las cuentas verdaderas.
¿Cuál es la situación de los exchanges de criptomonedas y los métodos de autenticación?
Actualmente la mayoría de los servicios ofrecen este tipo de autenticación para proporcionar una mayor seguridad en el acceso a las cuentas. Sin embargo, este no ha resultado ser del todo eficiente ante la creciente ola de ataques y novedosos métodos utilizados para robar datos. De ahí el motivo por el cual el propio Google retiró el soporte a su aplicación y empezó a utilizar un nuevo dispositivo mejorado (UF2) llamado Titan Security Key.
Los exchanges de criptomonedas igualmente forman parte de los servicios que utilizan 2FA, algo alarmante si se toma en cuenta que cada vez es mayor el número de mensajes falsos abiertos por los usuarios, y que también una gran parte de ellos hace clic en los enlaces maliciosos contenidos de forma adjunta.
Por otra parte, considerando que el phishing se ha incrementado constantemente y el número de sitios para llevar a cabo la técnica ha crecido, es un riesgo significativo y una vulnerabilidad latente para los usuarios que mantienen frecuentemente sus fondos en estas plataformas.
Aunque la mayor parte de las veces se puede identificar cuando estamos en presencia de una página de phishing, cada día van mejorando los mensajes y las fachadas, causando más dificultad a la hora de saber si la plataforma es verdadera o falsa. Esto obviamente deja en una posición de ventaja a los atacantes, sobre todo en el ecosistema de las criptomonedas donde hay dinero de por medio y un estimado de robos de fondos en aumento para lo que va de año.
¿Qué soluciones viables se perfilan a corto y largo plazo?
Además de la propia instrucción de los usuarios para evitar caer en este tipo engaños, es importante -y la mayoría lo ha hecho así- destacar una serie de anuncios y campañas por parte de los exchanges para que mediante ciertos parámetros guíen a la comunidad al uso seguro de sus plataformas, persiguiendo el objetivo de evitar que siga creciendo la cantidad de hackeos en sus sitios. Asimismo, es necesario que los equipos de ingeniería se esfuercen en desarrollar estrategias y nuevas medidas de seguridad que otorguen más protección a la hora de ingresar y utilizar sus sitios web.
De igual manera y a pesar de cualquier esfuerzo que se pueda tener al momento por ambas partes, es evidente que los exchanges deberán en algún punto evolucionar sus métodos de verificación, y una de las opciones próximas más viables es el Universal 2nd Factor (U2F) a través de dispositivos especiales que aparte de suministrar una contraseña particular, deba ser ingresado al equipo para poder completar el acceso.
La implementación de este factor podría dejar a un lado las amenazas de correos, enlaces y archivos al eludir por completo la utilización de mensajes, y también requiriendo una acción propia de la persona para poder obtener el acceso. Algo similar al funcionamiento de una billetera de hardware. Sin embargo, es claro que la adopción de un método haciendo uso de un dispositivo físico, llevaría un tiempo considerable pero aumentaría en gran medida los niveles de seguridad.
Recientemente también fue introducida al mercado la aplicación 2FA de tercera generación para dispositivos móviles llamada Hydro, manejando una serie de nuevas características para contrarrestar las técnicas de phishing más frecuentes. Esta aplicación funciona con la generación de un código único exclusivamente del sitio web real al que se esté intentando ingresar, y posteriormente lograr obtener el acceso con la autenticación desde la propia aplicación. De este modo es posible evitar cualquier equivocación al ingresar códigos en páginas falsas.
Este tipo de aplicaciones con el uso del procedimiento descrito, podría ser igualmente una solución a corto plazo para solventar las carencias del actual 2FA, al igual que lo haría un dispositivo U2F. Por otro lado, con el desarrollo de la tecnología de autenticación, los exchanges deberán ir modificando sus requerimientos para ofrecer al usuario mayores niveles de seguridad, en un mercado que cada día va aumentando de tamaño tanto en individuos como en capital.
