La autenticación de dos factores, o 2FA, se vendió a los usuarios web como uno de los mas importantes y herramientas confiables para proteger su vida digital. probablemente sabes como funciona: Al proporcionar una cuenta no solo con su contraseña, sino también con información secundaria (generalmente un código automático enviado por mensaje de texto a su teléfono o dispositivo de elección), las empresas pueden verificar que quien inicia sesión en su cuenta es definitivamente usted y no solo un idiota que ha logrado hacerse con tu información personal.

Sin embargo, según una nueva investigación, estos matones desafortunadamente han encontrado varias formas efectivas de eludir las protecciones 2FA, y están usando esos métodos cada vez más.

EL para estudiar, publicado por investigadores académicos de la Universidad de Stony Brook y la firma de ciberseguridad Palo Alto Networks, muestra el reciente descubrimiento de kits de herramientas de phishing que se utilizan para evadir las protecciones de autenticación. Kits de herramientas son programas de software maliciosos diseñados para ayudar en ataques cibernéticos. Están diseñados por delincuentes y generalmente se venden y distribuyen en foros de la web oscura, donde cualquier descontento digital puede comprarlos y usarlos. El estudio de Stony Brook, que fue originalmente informado por el record, muestra que estos programas maliciosos se utilizan para el phishing y el robo de datos de inicio de sesión 2FA de los usuarios de los principales sitios web en línea. También están explotando en uso, con los investigadores encontrando un total de al menos 1200 juegos de herramientas diferentes flotando en el subsuelo digital.

Es cierto que los ciberataques que pueden derrotar a 2FA son no nuevo, pero la distribución de estos programas maliciosos muestra que se están volviendo más sofisticados y más utilizados.

Los kits de herramientas derrotan a 2FA al robar algo posiblemente más valioso que su contraseña: sus cookies de autenticación 2FA, que son archivos que se guardan en su navegador web cuando se lleva a cabo el proceso de autenticación.

G / O Media puede recibir una comisión

20% Off

Select Nuraphone Styles

Get award-winning personalized sound
Grab the Nuratrue Earbuds, Nuraphone headphones, or the NuraLoop earbuds at a generous discount.

According to the study, said cookies can be stolen one of two ways: A hacker can infect a victim’s computer with data-stealing malware, or, they can steal the cookies in-transit—along with your password—before they ever reach the site that is trying to authenticate you. This is done by phishing the victim and capturing their web traffic through a hombre en el medio ataque de estilo que redirige ely tráfico a un sitio asociado y de suplantación de identidad servidor proxy inverso. De esta manera, el atacante puede interponerse entre usted y el sitio web al que está tratando de conectarse, capturando así toda la información que pasa entre ustedes dos.

Una vez que un pirata informático secuestra silenciosamente su tráfico y toma estas cookies, puede disfrutar del acceso a su cuenta mientras dure la cookie. En algunos casos, como las cuentas de redes sociales, esto puede llevar mucho tiempo, las notas de registro.

Todo es un poco aburrido, porque en los últimos años, 2FA ha sido ampliamente visto como un método eficaz para verificar la identidad y la seguridad de la cuenta. Por otro lado, estudios recientes también han demostrado que muchas personas ni siquiera te molestes con la promulgación de 2FA en primer lugar, lo que, si es cierto, significa que probablemente tengamos peces más grandes para freír en el departamento de seguridad web.