La verificación en dos pasos ya tiene un malware
Mucho se ha hablado de la necesidad de tener una verificación en dos pasos (2FA), por ser un plus de seguridad. Y de hecho lo es, hasta el punto que en las aplicaciones bancarias y otras de tipo financiero es obligatoria.
La mala noticia es que ya se ha creado un malware que simula una app de verificación en dos pasos que intenta estafar a los usuarios de servicios bancarios.
El hecho de que las entidades bancarias y financieras lo usen para infinidad de transacciones ha despertado el interés de los ciberdelincuentes que han olido el dinerito calentito que podían ganar. Se pusieron manos a la obra y desarrollaron una apliacación de phishing que simula una app de verificación de dos pasos. Para sus fechorías eligieron la interfaz del BBVA y así tratar de robar el dinero de los usuarios de este banco.
¿Cómo lo hacen?
Como en muchos actos de ciberdelincuencia, todo empieza con una réplica de la web oficial de una entidad. En este caso, de la web del BBVA. Y a partir de ahí se sigue esta sucesión de acciones:
• Réplica de la web del BBVA.
• Aviso a los usuarios de la existencia de una nueva aplicación de verificación que va a ser obligatoria en un futuro inmediato para cualquier gestión de la cuenta.
• Muchos usuarios se descargan la aplicación.
• La falsa aplicación posibilita que un malware (concretamente un troyano, de nombre Revive), infecte el dispositivo del cliente.
• Este troyano tiene la particularidad que captura todo lo que se escribe en el dispositivo en cuestión (keylogger).
• El malware pide al cliente que acepte dos permisos relacionados con los SMS y las llamadas telefónicas.
• Aparece una página que suplanta a la del BBVA y pide al cliente que introduzca los credenciales de acceso. Con ello quedan en poder de los ciberciminales, que podían transferir dinero de la cuenta de las víctimas hacia las suyas.
El descubrimiento de este troyano se lo debemos a los investigadores de la empresa italiana Cleafy, dedicada a la prevención del fraude online. Lo explican detalladamente en este artículo publicado en su web.
También podéis leer el artículo que el INCIBE ha publicado para alertar a los usuarios sobre este troyano bancario AQUÍ.
Un remedio muy asequible
La moraleja es muy clara: a pesar del doble factor de autenticación, nunca podemos estar seguros de nada. Y ante la duda, antes de clicar, molestaros en preguntar.
Hay que actuar con sentido común y no fiarse de nada de lo que recibimos. Pero también hay que proteger los dispositivos y eso no es tan complicado. Con poner una VPN suele bastar.
¿Qué es una VPN o red privada virtual? Seguro que habéis oído hablar de ella. Esta red lo que hace es redirigir el tráfico de un dispositivo hacia un túnel seguro; oculta la dirección IP y encripta los datos. En consecuencia protege frente a los timos como el que describimos.
Con este post os queremos advertir: la verificación en dos pasos ya tiene un malware. Así que agudizad las precauciones cuando os llegue un mensaje de vuestra entidad bancaria.
Imagen principal: mohamed Hassan en Pixabay
- Publicado en Ataques / Incidencias, General, Noticias, Privacidad, Protección de datos, Seguridad
YubiKey u otra key de autenticación con 2FA
A veces somos un poco pesados con las medidas de seguridad que tomamos nosotros y que transmitimos a nuestros clientes. Por supuesto que también son recomendaciones que hacemos llegar al público en general. Hoy queremos hablaros de una que creemos sinceramente muy necesaria, como es el doble factor de autenticación. Así que si sois de los que creéis que todo esto solo resta productividad porque son un poco más enrevesadas, leed con atención este artículo en el que os descubrimos Yubikey u otra key de autenticación con 2FA.
A pesar de nuestra insistencia, en nuestro quehacer diario, cuando visitamos clientes por vez primera o cuando hablamos con responsables de informática de muchas empresas, vemos que medidas esenciales como las que pasamos a enumerar a continuación siguen brillando por su ausencia.
¿Cuáles de estas medidas empleáis vosotros?
• No guardar las contraseñas en un navegador.
¡Qué fácil resulta que el navegador trabaje por nosotros!, ¿verdad?
• Esa práctica tan extendida como nociva de guardar todas las contraseñas en un archivo Excel.
• Usar un gestor de contraseñas.
• Bloquear el PC cuando uno se levanta, ¡aunque sea un minuto!
• Comprobar las URLs o archivos adjuntos que llegan por nuestro correo electrónico.
• Usar siempre que sea posible el doble factor de autenticación (2FA).
que tomamos cada uno de nosotros.
Imagen de Werner Moser en Pixabay
Bien, seguro que muchos de vosotros nos diréis que todo eso está superado, que ya habéis superado este curso. Vale, pero aun así, hoy os queremos hablar especialmente del doble factor de autenticación. Y es que ya es corriente que casi todos los buenos servicios cuenten con esta opción, para que el servicio se ponga automáticamente contigo a través del servicio que tu elijas, o que te deje hacer login con o además de un hardware.
Vamos a hablaros de Yubikey u otra key de autenticación con 2FA, porque la esencia de este artículo es hablar de llaves de hardware, con NFC (Near Field Communication) o tecnología inalámbrica de corto alcance o USB. Hemos probado ya tres marcas diferentes, pero sin duda las YubiKey son las que nos parecen más adecuadas. YubiKey es un dispositivo creado por la empresa estadounidense Yubico para proteger ordenadores, redes y servicios online. Suelen ser fáciles de configurar, y casi todas han funcionado bien, siempre, en todos los sistemas que hemos probado: Windows, MacOs, Linux y Android.
ha creado la llave YubiKey.
¿Qué servicios nos han aceptado el 2FA? De momento Twitter, Gmail, WordPress, GitHub y Cloudamo (un proveedor de Nextcloud), al igual que el escalado de privilegios con super usuario (sudo) en Linux.
¿Como funciona? Fácil y sencillo, primero configuramos nuestra llave en nuestro sistema, o sistemas, con su respectiva guía, y luego cada servicio es un mundo, claro, pero en las opciones de nuestra cuenta podemos activar el 2FA. Al activarlo, nos pedirá validar como lo haremos, casi siempre es software, pero como os comento, estos que hemos probado dejan por hardware. Introducimos nuestra llave, la validamos, y… ¡voilà!
Podéis seguir más detenidamente cada paso a través del soporte online de Yubico AQUÍ.
A partir de entonces, cada vez que entremos en uno de estos servicios, y después de hacer login normalmente, nos pedirá que insertemos la llave, y toquemos el botón de actuación.
Os dejamos AQUÍ el comparador de productos de Yubikey, que es la marca “más compatible” con los servicios. Y esperamos que los servicios que no se han sumado al carro del 2FA.
Hay otros tipos de hardware, como receptores de tokens únicos, y también de soluciones por software como la de Google.
Como siempre comentamos, hay para todos los gustos, así que os toca probar y ver cual es la que más os gusta, a vosotros, o a vuestra empresa, o la que os resulte más práctica, pero eso sí, ¡siempre dentro de la seguridad!
- Publicado en Consultoría, General, Hazlo tu mismo, Seguridad
Español 
Català