Tutoriales y Manuales
Entradas Mensuales
-
▼
2024
(Total:
1090
)
- ► septiembre (Total: 50 )
-
▼
junio
(Total:
114
)
- Listas IPTV para tener 10.000 canales gratis en tu...
- Windows 10 tendrá 5 años más de actualizaciones de...
- Dos detenidos por hackear más de 100 organismos de...
- Proveedor de Internet infecta a sus propios usuari...
- UEFI, la versión mejorada de la BIOS
- YouTube negocia con la industria musical para gene...
- Moto Tag: el nuevo AirTag de Motorola es el mejor ...
- Ataque a la cadena de suministro: más de 100.000 s...
- Plugins oficiales de WordPress contienen puerta tr...
- SUPERSEGA: el proyecto español de una consola capa...
- La DGT de España obligará a partir de julio a mont...
- Julian Assange, fundador de Wikileaks, queda en li...
- El grupo de ransomware LockBit ataca a la Reserva ...
- ¿Qué son los bots OTP y cómo funcionan para saltar...
- Vulnerabilidad crítica de Microsoft Outlook sin in...
- Europa acusa a Microsoft de infringir las normas a...
- Meta y Apple estarían negociando una alianza en in...
- Google prepara chatbots de IA basados en celebrida...
- Microsoft elimina la guía de cómo convertir cuenta...
- New+, la nueva función de PowerToys
- Europa acusa a Apple de violar la DMA y abre una i...
- Desarrollador logra ejecutar Blender, una potente ...
- SELKS 10: la distribución especializada en la segu...
- Apple sufre un hackeo de 3 programas internos por ...
- Dell intentó obligar a sus empleados a volver a la...
- Un ataque de ransomware retrasa la operación de cá...
- ¿Qué ha sido de los fundadores de WhatsApp, Jan Ko...
- VMware publica parches para tres vulnerabilidades ...
- Instagram muestra contenido para adultos a menores
- Claude 3.5 Sonnet: la nueva IA superior a GPT-4o ...
- Estados Unidos prohíbe Kaspersky por motivos de se...
- La IA puede ayudar a detectar el párkinson 7 años ...
- Europa quiere escanear todos tus mensajes, fotos y...
- Nvidia supera a Microsoft y se convierte en la emp...
- Las nuevas Copilot+ PC son incapaces de ejecutar l...
- Ilya Sutskever, cofundador de OpenAI, anuncia una ...
- Características avanzadas de SpanningTree: PortFas...
- Android hará más segura la instalación de APKs
- Vulnerabilidades en terminales biométricos
- Malware muestra errores falsos para que ejecutes s...
- NVIDIA AI Workbench, crear y probar aplicaciones g...
- China ya tiene su Terminator, un comandante milita...
- El grupo Amper victima del grupo de ransomware Bla...
- El primer conector óptico PCI-Express 7.0 alcanza ...
- El switch de red más pequeño y barato del mundo cr...
- Florida usa drones para eliminar mosquitos
- Cómo robaron datos de Ticketmaster y el Banco Sant...
- Adobe se enfrenta a una multa millonaria por impon...
- Puerta trasera en algunos routers D-Link
- MySpeed: monitorizar conexión a internet
- Google crea nuevas reglas para garantizar que los ...
- YouTube lanza su propia versión de las "notas de l...
- Nueva oleada de SMS falsos de la DGT por multas im...
- El robo de cuentas de WhatsApp crece casi un 700% ...
- Descubierta la geolocalización de visitantes de la...
- Qué es un condensador y cuál es su función en la p...
- Una vecina de Barcelona le da 695.000€ a un timado...
- AlmaLinux anuncia soporte oficial para Raspberry Pi 5
- systemd 256 llega con run0, el ‘clon’ de sudo que ...
- Vulnerabilidad path traversal en SolarWinds Serv-U...
- Crean una IA capaz de traducir los ladridos de tu ...
- Cómo evitar que Meta use tus datos de Instagram y ...
- Parche urgente de Microsoft para driver WiFi que p...
- Troyano "stealer" instalados a través de falsos KM...
- Stable Diffusion presenta una IA tan ligera que pu...
- MediaTek estaría trabajando en un chipset con IA p...
- Exempleados de SpaceX demandan a Elon Musk por aco...
- Cómo proteger correctamente el envío del DNI en Es...
- Recursos y páginas de Inteligencia Artificial para...
- Photopea es la alternativa gratuita desde el naveg...
- ¿Cómo afecta la temperatura de funcionamiento a la...
- Los datos privados robados a Carrefour propician e...
- Elon Musk elimina de X (Twitter) los "Me Gusta" po...
- Microsoft añadirá obligatoriamente 2FA a partir de...
- Vulnerabilidad crítica y exploit para Veeam Backup...
- Apple se niega a pagar a Kaspersky la recompensa p...
- Adobe Photoshop pide acceso a todo el contenido in...
- Apple se asocia con OpenAI para ofrecer IA en sus ...
- El histórico reproductor Winamp ya tiene una edici...
- Apple presenta un gestor de contraseñas llamado Pa...
- Vulnerabilidad en PHP (modo CGI) para Windows
- Roban 270GB de código fuente del The New York Times
- Estafa de la videollamada por WhatsApp compartiend...
- Actualización automática y forzosa BIOS defectuosa...
- Detenido en Murcia un ciberdepredador sexual de ni...
- Crean la impresora 3D más pequeña del mundo del ta...
- TotalRecall extrae los datos recopilados por Windo...
- Programas de Linux para recuperar datos y reparar ...
- Ponen a la venta datos de 27.000 clientes de El Co...
- YouTube te lleva directamente al final del video ...
- Parrot 6.1 llega con soporte para la Raspberry Pi ...
- El FBI recupera 7.000 claves de cifrado del ransom...
- Elon Musk permitirá contenido para adultos en Twitter
- Kali Linux 2024.2 llega con GNOME 46 y nuevas herr...
- Vulnerabilidad 0-day en TikTok permite secuestro d...
- La IA llega a las PowerToys de Windows con el "peg...
- Napster cumple 25 años, la primera red P2P cambió ...
- Un ataque de ransomware paraliza hospitales de Lon...
- Detenido el secuestrador de cuentas de WhatsApp, “...
- Filtración de datos en Heineken afecta a 9.000 emp...
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
iperf3 es la última versión del popular programa iperf para medir el ancho de banda entre dos o más equipos en red local o Internet . Es...
-
A finales del mes de agosto hablábamos de que los legisladores estadounidense habían solicitado la investigación de TP-Link . Y así, ya ten...
¿Qué son los bots OTP y cómo funcionan para saltarse el 2FA del usuario?
Los bots OTP son una amenaza relativamente nueva y sofisticada en el cada vez más amplio mundo de las estafas de Autenticación Multifactor (MFA).
En resumen, un bot OTOP es un software automatizado que eluden la autenticación de dos factores, lo que provoca una pesadilla de seguridad para los usuarios y los servicios en línea.
Dado que desafían muchas medidas de seguridad convencionales, comprender y neutralizar los bots OTP se ha convertido en una prioridad para muchas organizaciones.
La configuración del terreno de autenticación: OTP y 2FA
¿Qué son las contraseñas de un solo uso (OTP)?
Las contraseñas de un solo uso (OTP) son códigos de acceso únicos y de corta duración que se envían al número de teléfono de una persona para usarse como una capa adicional de seguridad para transacciones o inicios de sesión en línea. Por lo general, se envía al número de teléfono registrado o al correo electrónico de un usuario y se debe ingresar una OTP dentro de un período de tiempo específico para confirmar la identidad del usuario.
A diferencia de las contraseñas estáticas tradicionales, los OTP son mucho más difíciles de comprometer porque son dinámicas, de corta duración y caducan después luego de un solo uso, lo que las convierte en una opción popular para procesos de autenticación de dos y múltiples factores.
La autenticación de dos factores (2FA) mejora la seguridad al requerir dos métodos de verificación separados. Por lo general, después de ingresar una contraseña, los usuarios reciben una contraseña de un solo uso (OTP) para su número de teléfono a través de SMS, lo que proporciona una segunda capa de seguridad. Sin embargo, los robots OTP han surgido como una herramienta para interceptar estos códigos OTP cruciales, creando un problema de seguridad apremiante.
El proceso de 2FA implica una combinación de dos factores diferentes: algo que sabes (como una contraseña), algo que tienes (como tu teléfono) o algo que eres (como tu huella digital). Esto significa que incluso si un atacante conoce la contraseña, seguirá necesitando el segundo factor (generalmente un código de verificación temporal enviado al número de teléfono de su dispositivo móvil) para acceder a su cuenta.
Ahora que los robots OTP pueden interceptar estos códigos, la eficacia de 2FA se ve algo comprometida, lo que impulsa el desarrollo de métodos de autenticación más avanzados y seguros.
¿Qué son los bots OTP?
Los bots OTP son programas de software automatizados que están diseñados para evitar los sistemas de autenticación de dos factores (2FA). Los bots OTP se utilizan normalmente para obtener ganancias financieras, como acceder y vaciar cuentas bancarias o realizar transacciones fraudulentas.
A medida que más y más servicios en línea han implementado 2FA como una capa adicional de seguridad, los bots OTP se han convertido en una amenaza más importante con su capacidad de eludir los métodos de autenticación tradicionales, lo que facilita a los delincuentes informáticos el acceso a información confidencial utilizando el número de teléfono de la víctima u con otros métodos.
Comprender los ataques de bots OTP y su impacto
Si bien los bots OTP no son esenciales para que funcionen las estafas OTP, pueden escalar y mejorar enormemente las tasas de éxito de las estafas mediante la automatización y una capa adicional de credibilidad. Hay dos tipos de estafas comunes en las que los bots OTP pueden tener un impacto enorme:
Suplantación de identidad
En un ataque de phishing, la víctima potencial suele recibir un mensaje de texto o un correo electrónico afirmando que algo anda mal con su cuenta bancaria con una URL/enlace de apariencia plausible en el que hacer clic. La estafa suele desarrollarse de la siguiente manera:
- La víctima hace clic en el enlace, lo lleva a un sitio fraudulento que imita la página de inicio de sesión del banco e ingresa sus credenciales que el atacante luego utiliza para acceder al sitio real del banco.
- En esta etapa, el acceso directo a la cuenta bancaria se bloquea debido a la dirección IP desconocida del atacante, por lo que se inicia un desafío OTP de autenticación de dos factores (2FA).
- El sitio del estafador solicita a la víctima que seleccione un método 2FA y envía la elección al banco.
- El banco envía una OTP a la víctima, quien la ingresa en el sitio de phishing. El atacante utiliza la OTP para obtener acceso completo a la cuenta bancaria.
- Para evitar sospechas, el estafador puede permitir un acceso transparente al banco o mostrar un mensaje de error falso.
- Luego, el estafador puede realizar transacciones fraudulentas o recopilar información financiera de la víctima.
Uso de malware
Como se mencionó, los bots OTP son software automatizado que se clasifican como malware dada la naturaleza maliciosa de su diseño. En un ataque de malware, el atacante engañará a la víctima para que instale el bot OTP (malware) en su dispositivo. Esto a menudo se logra mediante la explotación de los flujos de restablecimiento de contraseña para sitios que utilizan solo la validación de PIN OTP como desafío para restablecer la contraseña. Una vez que el bot OTP (malware) está en el dispositivo de la víctima, puede monitorear las actividades del dispositivo de la siguiente manera:
- Los OTP para autenticación, como los inicios de sesión bancarios, se envían al teléfono del usuario.
- El malware en el dispositivo del usuario detecta y reenvía secretamente la OTP al atacante.
- El malware avanzado automatiza el proceso: iniciar sesión, interceptar OTP y completar la autenticación.
- Los atacantes obtienen acceso no autorizado para realizar acciones maliciosas (transferencia de fondos, robo de datos).
- El malware puede borrar el mensaje OTP para evitar que el usuario lo detecte.
- Es posible que se instalen malware o puertas traseras adicionales para un acceso sostenido.
Al automatizar el proceso de interceptación de OTP, estos robots pueden realizar ataques generalizados, comprometiendo numerosas cuentas rápidamente y, a menudo, pasando desapercibidos hasta que se desarrolla el daño.
El problema con 2FA
Una de las principales razones por las que los ataques de bots OTP se han vuelto tan frecuentes es la popularidad de 2FA como medida de seguridad adicional. Con la creciente popularidad, han surgido nuevos métodos para eludir este popular método de autenticación. 2FA es ahora un objetivo lucrativo para los ciberdelincuentes que buscan formas de explotar vulnerabilidades y robar información confidencial.
Una vez que los atacantes obtienen un OTP, pueden eludir la 2FA, lo que lleva a la apropiación de la cuenta. Con este acceso no autorizado, los estafadores pueden participar en actividades maliciosas, incluido el robo de recursos financieros, datos personales o el uso de la cuenta para otros esquemas fraudulentos. Esto plantea un riesgo significativo para las personas y también puede resultar en pérdidas financieras sustanciales para organizaciones e instituciones.
LLMs e Ingeniería Social moderna
Con las plataformas modernas de IA generativa como ChatGPT 4, las respuestas automatizadas pueden parecer tan humanas que a menudo se siente como si hubiera una persona real detrás de la "cortina". La ingeniería social moderna busca explotar este avance tecnológico increíblemente prometedor (y desalentador) en el mundo de la tecnología. fraude.
En la ingeniería social tradicional, los atacantes utilizan mensajes engañosos, para hacerse pasar por el director ejecutivo de una empresa y solicitar información urgente, o hacerse pasar por un servicio acreditado que solicita un código de verificación, para engañar a las víctimas y realizar una estafa. Al "diseñar" sus respuestas a su favor, las víctimas desprevenidas creen que están asegurando sus cuentas y proporcionarán la OTP o el código de verificación, lo que sin darse cuenta otorgará a los atacantes acceso a su información.
Los estafadores experimentan cada vez más con Large Language Models (LLMs) avanzados (el aprendizaje automático que impulsa la IA generativa) para crear sistemas automatizados sofisticados capaces de ejecutar ataques de ingeniería social. Estos robots fraudulentos están siendo diseñados para imitar la interacción humana de manera más convincente que nunca. Los LLM se basan en técnicas de fraude "tradicionales" y pueden ampliar enormemente la creatividad y adaptabilidad de los estafadores.
Los robots con tecnología LLM pueden entablar conversaciones en varios idiomas e incluso podrían programarse para realizar inteligencia de código abierto (OSINT) para recopilar datos disponibles públicamente sobre sus objetivos. Esto les permitiría elaborar mensajes altamente personalizados y convincentes que lleven la ingeniería social al siguiente nivel de credibilidad.
Los defectos de los OTP basadas en SMS
A pesar de su cifrado, los mensajes de texto SMS pueden interceptarse por medios técnicos (como robots OTP) o engañando a los representantes de los servicios de telecomunicaciones, explotando el eslabón de seguridad más débil: el error humano.
Además, los atacantes pueden secuestrar la tarjeta SIM de la víctima utilizando técnicas de ingeniería social para hacerse pasar por el usuario y obtener una nueva SIM con el mismo número (una técnica bastante nefasta llamada SIM swapping). Luego reciben todos los mensajes SMS entrantes, incluidos los OTP, esencialmente evitando las medidas 2FA para comprometer las cuentas de las víctimas.
Para mitigar las vulnerabilidades asociadas con las OTP basadas en SMS, las organizaciones recurren cada vez más a soluciones OTP basadas en aplicaciones. En lugar de recibir códigos únicos a través de mensajes de texto, los usuarios los generan dentro de una aplicación móvil o token de hardware designado.
SMS Buster
Algunos atacantes han ampliado su mercado para ofrecer servicios de bot OTP a otros posibles estafadores, como el infame "SMS Buster", por una tarifa de suscripción. Estos servicios de bots OTP permiten que incluso personas poco cualificadas lancen ataques, lo que los hace aún más frecuentes.
Los 'SMS Busters' pueden leer OTP de mensajes de texto, analizarlos en busca de OTP e ingresarlos automáticamente en la aplicación de destino. Estos robots también pueden evitar los desafíos CAPTCHA mediante el uso de la tecnología de reconocimiento óptico de caracteres (OCR).
El impacto en las organizaciones y redes
Las instituciones financieras son los principales objetivos de los robots OTP. Los atacantes aprovechan estos robots para realizar transacciones no autorizadas y transferir fondos sin consentimiento. La automatización y la escala de estos ataques amplifican los riesgos y las pérdidas potenciales tanto para los bancos como para los clientes, quienes tal vez no puedan acceder a sus fondos o sufran pérdidas, sin mencionar el daño a su reputación y las sanciones regulatorias.
Servicios como Google, PayPal e Instagram son víctimas comunes de los ataques de bots OTP. Los usuarios suelen vincular detalles financieros con estas plataformas, lo que las convierte en objetivos atractivos. La capacidad de los bots para eludir los protocolos de seguridad crea vulnerabilidades en torno a los fondos de los usuarios y los datos confidenciales.
Estrategias de prevención
Para combatir los bots OTP, las empresas y los servicios en línea deben implementar fuertes medidas de seguridad que vayan más allá de los métodos tradicionales 2FA. Estos incluyen métodos de autenticación biométrica, como la huella digital o el reconocimiento facial, que son más difíciles de eludir para los robots. Además, las empresas y los servicios deben revisar y actualizar periódicamente sus protocolos de seguridad para mantenerse a la vanguardia de la evolución de las tácticas de los bots.
Los usuarios individuales también pueden tomar medidas para protegerse, incluido cambiar periódicamente las contraseñas y utilizar credenciales de inicio de sesión únicas y complejas para cada cuenta en línea.
Factores 2FA más fuertes
Agregar capas de seguridad más sólidas puede dificultar que los robots OTP obtengan acceso a las cuentas de los usuarios. La incorporación de métodos como la verificación biométrica o tokens de hardware multiplataforma fortalece y diversifica los puntos de control que conducen al acceso a la cuenta. Esto dificulta que los bots eludan los protocolos de seguridad y obtengan acceso no autorizado.
Biometría del comportamiento
La biometría del comportamiento, también conocida como biometría pasiva, es un método de autenticación emergente que analiza los patrones de comportamiento del usuario para identificar y verificar a las personas. Estos incluyen dinámicas de pulsación de teclas, movimientos del mouse, patrones de deslizamiento y otros comportamientos únicos que son difíciles de replicar para los robots. Al monitorear continuamente estos patrones de comportamiento, los servicios en línea pueden detectar actividades sospechosas y bloquear ataques de bots OTP antes de que comprometan información confidencial.
Autenticación web y tokens de hardware
La autenticación web funciona mediante el uso de criptografía de clave pública y tokens de hardware seguros o datos biométricos almacenados en el dispositivo del usuario, lo que previene eficazmente los ataques de bots OTP. Cuando un usuario registra una cuenta, el servidor crea un par de claves pública y privada, con la clave privada o token de hardware almacenado de forma segura en el dispositivo del usuario y la clave pública almacenada en el servidor.
Durante el inicio de sesión, el servidor envía un desafío al dispositivo del usuario, que el dispositivo firma con la clave privada. Luego, el servidor puede verificar la firma con la clave pública almacenada, asegurando que el usuario, y no un bot, esté intentando acceder a la cuenta. Este procedimiento eleva significativamente el listón para los atacantes, ya que ahora deben obtener acceso al dispositivo físico o a los datos biométricos del usuario para evitar la autenticación, lo que no es tarea fácil.
Fuentes: Stych
Vía:
https://blog.segu-info.com.ar/2024/06/los-bots-otp-son-una-amenaza.html
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.