Para asegurar una cuenta en línea, además de elegir contraseñas robustas, se puede recurrir a lo que se conoce como llave FIDO o llave de seguridad. Este pequeño dispositivo físico, similar a un pendrive, es fácil de transportar y se utiliza para autenticarte al acceder a tu cuenta. Por ejemplo, al intentar acceder a Facebook desde un lugar diferente, deberás ingresar tu contraseña y usar este dispositivo para confirmar tu identidad.
Recientemente, un nuevo ataque perpetrado por el grupo PoisonSeed engaña a los usuarios para aprovechar precisamente las funciones de inicio de sesión de las llaves FIDO. Una vez que obtienen el control, pueden eludir esta capa adicional de seguridad, dejando las cuentas vulnerables. Para llevar a cabo este ataque, los criminales utilizan técnicas de Phishing con códigos QR.
Objetivo: llaves de seguridad FIDO
Los códigos QR son comunes en muchos contextos. Su uso está tan extendido que es habitual encontrarlos para acceder a páginas o plataformas. Por ejemplo, puedes ver un QR en un restaurante para consultar el menú, para conectarte a una red Wi-Fi, o incluso en la entrada de un concierto o evento deportivo.
Un equipo de investigadores de seguridad de Expel, una firma especializada en inteligencia de amenazas, detectó e informó sobre este tipo de ataque el pasado 17 de julio, donde se aplica la técnica conocida como AitM (Adversario en el Medio). Este método permite a un atacante interceptar una comunicación y, si tiene éxito, eludir la protección de autenticación basada en hardware, como las llaves FIDO.
El ataque comienza con una campaña de Phishing típica. Este tipo de ataques se basa en suplantar la identidad de una persona o empresa, contactando a la víctima para que caiga en la trampa. Siempre emplean un gancho. En este caso, los atacantes se dirigen a empleados corporativos mediante correos electrónicos. Todo está diseñado para que las víctimas accedan a páginas de inicio de sesión falsas, que imitan a la perfección las originales, con el mismo branding de la empresa.
Mediante este método, los atacantes obtienen las credenciales básicas, pero necesitan la llave de seguridad para acceder. La infraestructura maliciosa que han creado, una vez ingresada la contraseña, retransmite automáticamente estas credenciales robadas al portal de autenticación real, al mismo tiempo que solicita un inicio de sesión en múltiples dispositivos.
Este proceso activa el sistema de autenticación legítimo para generar un código QR para la verificación del dispositivo alternativo, que es la llave FIDO. La infraestructura de Phishing puede capturar este código QR auténtico y presentarlo a la víctima a través de la interfaz de inicio de sesión falsa. Al utilizar esa autenticación multifactor con su móvil, en realidad están dando acceso al atacante.
Ataques a gran escala
Este tipo de ataques suelen dirigirse a empresas específicas, con el fin de robar datos confidenciales o carteras de criptomonedas. Aunque no suelen atacar directamente a usuarios particulares, tampoco es raro ver casos así, por lo que es esencial mantener la protección y evitar errores.
La existencia de campañas como esta demuestra que, incluso utilizando métodos de autenticación en dos pasos, como las llaves FIDO, no estamos completamente protegidos. Siempre existe la posibilidad de que un atacante logre superar la barrera de seguridad y acceda a nuestras cuentas.
Existen maneras de aumentar aún más la protección, como implementar restricciones geográficas para iniciar sesión o la verificación obligatoria a través de dispositivos Bluetooth, que solo funcionarán en un área limitada. Sin embargo, el uso de llaves FIDO sigue siendo una opción muy valiosa y es preferible a usar únicamente una contraseña.
Para mejorar la seguridad al usar dispositivos de este tipo, puedes optar por modelos que almacenan la clave en la propia llave, como YubiKey 5 o Google Titan, vinculándolas criptográficamente al servicio original para prevenir su uso en sitios fraudulentos. Además, las llaves modernas FIDO2, al usarse en navegadores como Chrome o Firefox, validan que el dominio donde se realiza la autenticación sea legítimo, bloqueando así los ataques Phishing AiTM, como hemos visto en esta campaña.
Como usuario particular, para protegerte de este tipo de ataques o similares, es fundamental evitar errores. Casi siempre, los piratas informáticos requieren que realices una acción, como hacer clic en un enlace recibido por correo, descargar un archivo o instalar una aplicación falsa. El sentido común y revisar todo cuidadosamente son clave para evitar problemas.
Preguntas frecuentes
¿Cómo protejo al máximo mis cuentas?
Es fundamental utilizar contraseñas robustas, habilitar la autenticación en dos pasos, mantener el dispositivo actualizado y protegerse contra malware con un buen antivirus.
¿Qué sucede si roban alguna cuenta?
Pueden suplantar tu identidad en línea y afectar a amigos o familiares. También podrían acceder a otras cuentas vinculadas, como redes sociales, robar datos confidenciales, rastrear tus correos o monitorear tus actividades en la web.
¿Estoy protegido con un antivirus?
Un antivirus puede ayudar a detectar y eliminar malware, pero no evitará que caigas en un ataque Phishing. Es esencial usar métodos adicionales, como evitar errores, instalar solo aplicaciones oficiales y mantener todo actualizado.
