Portada
Hace 5 años | Por --525300-- a xataka.com
Publicado hace 5 años por --525300-- a xataka.com
El phishing se apodera de la verificación en dos pasos. Los tokens físicos, la mejor opción según Amnistía Internacional

El phishing se apodera de la verificación en dos pasos. Los tokens físicos, la mejor opción según Amnistía Internacional

 xataka.com

Sorprende descubrir que Amnistía Internacional se dedica a hacer auditorías de ciberseguridad, pero tienen un buen motivo: su participación en proyectos en Oriente medio y África ha servido para detectar que allí los hackers han puesto en problemas algunos sistemas de verificación en dos pasos (2FA, Two Factor Authentication).

Etiquetas

DE3C548D-E347-406A-A60F-E6BBD322CAB7 3.7k 46

Comentarios

ElPerroDeLosCinco

-nal.

(¡qué a gusto me he quedado!)

V 11
K 91
omegapoint

#1 la verdad es que da rabia cuando lees un texto y dejan la última palabra a medi

V 16
K 116
Nathaniel.Maris

#2 -as.

V 5
K 43
anxosan

En informática nunca (nunca, nunca, nunca) hay un sistema completamente seguro.
Los "tokens físicos" existieron durante muchos años como sistemas de seguridad para programas (sin determinado dispositivo enchufado en un puerto el programa no funcionaba) y siempre acabó habiendo un hacker que se lo saltaba. Al final se trata de conseguir que el verificador crea que el token está ahí, aunque no lo esté, y el token es solamente otro programa con información (muy poca además).

V 10
K 91
m
editado

#3: Lo mejor es cuando los hacen en China. lol

Nada en contra de los chinos, pero en mi opinión, si una empresa es de España, lo mejor sería hacer los tokens en España o al menos un país de la UE.

V 2
K 18
D
editado

#3 Pero lo que estas describiendo es un sistema donde el hacker tiene acceso al sistema de verificación, casi parece un escenario offline. En uno online hay un tercero, el servidor, el que se encarga de verificar, y es un bastante mas complicado engañar el servidor sin tener acceso.

Lo que si que es verdad, es que no hay, y probablemente no habra(lo unico que se me ocurre es que la computacion cuantica venga al rescate) un sistema al 100% seguro. Lo que si que se intenta es complicar lo máximo posible el trabajo del hacker para que no valga la pena hackear. Pero al final es como todo, cuanto mas grande es el premio mas incentivo habrá para romperse la cabeza.


#15

V 0
K 9
o

#13 Hay muchos sistemas seguros lo que no son es económicamente viables, siempre estamos usando los más "seguros" que económicamente sea asumible por entiendad te lo dice alguien que tiene token físico

V 0
K 7
sorrillo

#3 Lo que describes no aplica.

Lo que tú describes es la modificación del programa para que crea que el token está conectado o para que directamente ignore esa verificación y siga funcionando. Para ello se necesita modificar y ejecutar ese programa.

En este caso los tokens físicos a los que se refiere el meneo aportan información que se introduce a través de la red para que el programa que confirma su validez lo reciba en la sede donde se ofrece el servicio, ya sea la banca electrónica, un gestor de bolsa o cualquier otro servicio.

Para que aplicase el ejemplo que nos citas se debería acceder a los servidores de ese banco y modificarlos para que no comprobasen ese código que se transmite por la red. No es que sea imposible pero no es el riesgo al que se refieren en el proceso de verificación de identidad mediante doble autenticación.

Los tokens del meneo son generadores de números, la tarea del hacker en este caso es engañar al usuario para que le entregue el número generado al hacker en el momento preciso o bien robar el generador de números (lo cual es más sencillo si se trata de un software corriendo un dispositivo móvil tipo Android o iOS). Lo que se propone en el meneo es que el generador de números esté en un token físico, lo cual en principio dificulta muchísimo la tarea del hacker.

V 5
K 44
D

#3 A efectos prácticos cualquier sistema de seguridad informático se resume en que un sistema te pregunte "¿eres tú?" y tú le contestes "sí".

Uso este ejemplo en particular porque más de una vez he visto gente que le abre la puerta a cualquiera porque justamente al llamar a la puerta le ha dicho "yo" y sin estar seguro de quién era le ha abierto el portal.

V 2
K 24
eldarel

#3 Ni que el artículo fuera patrocinado pir un fabricante de smartcards cool con nuevo nombre. lol lol

V 1
K 22
D

#3 Hace poco estuve leyendo sobre este tema, y por lo que entendí estos tokens se basan en criptografía de clave pública. Tienen una clave privada que se genera en el propio token y que nunca sale de ahí, y es su hardware el que se encarga de realizar las operaciones de cifrado y firma digital. Los tokens, por su propio diseño, son imposibles de duplicar. Un sistema así es extremadamente difícil de romper.

V 0
K 7
nusuario

los token fisicos siempre van a ser mas seguros, pero claro, entonces se quedan sin excusa para sonsacarte tu numero de movil..

V 1
K 36
D

#25 Yo tengo cuenta abierta en tres bancos distintos, y los tres usan tarjeta de coordenadas, pero adicionalmente piden un código que te envían por SMS para hacer cualquier operación.

V 2
K 27
swapdisk

#25 Como dice #27 la mayoría piden además la clave de SMS. Otros tienen firma solo con token y otros con criptocalculadora. Yo era muy feliz cuando pedían posiciones aleatorias de una clave de firma establecida por mi.

V 0
K 7
Carlos_Pascual_Rebollo

Alguien se fía aún de la “ong” de la CIA?

V 4
K 25
letra
editado

#16 Más que de los nazis, y sus teorías conspiranoicas sobre cualquier organización de ideología progresista que no controlen, sí.

V 1
K 13
Carlos_Pascual_Rebollo
editado

#18 ¿de que nazis hablas ?

V 0
K 6
letra

#24 De los que dan la matraca con que todas las causas progresistas son pantallas de Soros, o la CIA, o los Illuminati, o "los siete sabios de Sion" ¿te suenan?

V 0
K 6
Carlos_Pascual_Rebollo

#33 no. Solo me suenan los cascos blancos, y me basta.

V 0
K 6
letra

#35 Interesante, con una sola cosa eres capaz de engañarte a ti mismo.

V 0
K 6
Carlos_Pascual_Rebollo
editado

#36 así como lo veo yo tenias dos opciones: dar algún argumento o dar una respuesta de sobradete. Has ido a lo fácil

https://www.google.es/amp/s/actualidad.rt.com/actualidad/226351-lado-oscuro-cascos-blancos/amp

V 0
K 6
letra
editado

#37 Para mí lo fácil es dar un argumento e ir de sobradete sería enlazar a un medio de comunicación neonazi pretendiendo demostrar algo con las trolas de dos fascistas como Putin y Assad.

V 0
K 6
letra

#37 Rebollo, si me permites acabo de darme cuenta que tu avatar es el de alguien armado que está amenazando lo que parece un asentamiento de población civil. Posiblemente sea una foto tomada mientras jugabas al paintball y soñabas con alguna clase de limpieza étnica que, tras un simple análisis genético, también te llevaría a ti por delante. ¿Has considerado cambiar ese avatar por algo que no deje en evidencia la enfermedad ideológica que sufres o te vas a seguir haciendo daño a ti mismo leyendo Russia Today?

V 0
K 6
Carlos_Pascual_Rebollo

#42 vale tío. Que eres un cazanazis de internet. Ya tenía idea de cuando me has empezado con desvaríos de noseque de Sion de lo que yo no tengo ni puta idea, pero se te ve experto. Luego te atreves a insultar a la gente con que si me gustaría hacer una limpieza etnica, que te va a costar un reporte, además de llámeme nazi, cosa que para ti no se pero para mi es un insulto grave a la vez que gratuito.

Te sugiero que cambies tu manera de ver el mundo, te crees un martillo, y para un martillo todos los demás son clavos. Solo que no atinas ni media. Pero eso no hace que pares en tu cruzada que solo existe en tu mente.


Ale, a pastar.

V 0
K 6
swapdisk

Yo tengo una discusión permanente con los bancos y sus tarjetas de firma. Dejadme elegir mi clave y memorizarla en lugar de tener una tarjeta dónde está apuntada que me pueden robar o, peor aun, fotografiar.

Si acaso, clave y contraclave al movil. Y con las criptollaves sin código pasa lo mismo.

Y recordar que seguridad y comodidad están reñidas.

V 3
K 24
a

#11 ¿Todavía quedan bancos que utilizan tarjetas de coordenadas?

V 0
K 6
llorencs

#25 La Caixa, por ejemplo

V 0
K 10
rafaLin

#11 Si haces eso la mayoría de la gente elegirá una contraseña sencilla que utiliza en otras webs.

Yo nunca memorizo una contraseña, siempre uso una distinta totalmente aleatoria, de la máxima longitud que deja la web, tengo contraseñas de 100 caracteres y otras en webs de mierda de 10 caracteres porque no dejan meter más.

V 0
K 10
swapdisk

#34 eligen la de entrada al banco. La de firma la estas estampando en una tarjeta o un token. Al final, en una oficina con varias cuentas, la seguridad está en la de entrada, la otra está en un cajón.

V 0
K 7
D

Este titular hace llorar axtrem3xtrem3

V 1
K 22
D

Los protocolos de correo deberían modificarse para exigir proof of work, esto acabaría con el spam y por tanto dificultaría enormemente el phising. Claro que Google tendría que gastar una pasta para enviar tantos correos como manda.

V 0
K 9
D

Lo mejor del token es cuando lo pierdes.

V 0
K 8
Candidatas
37
meneos
actualidad La Eurocámara endurece los límites de contaminación del aire y los ciudadanos podrán ser indemnizados
25
meneos
actualidad Cinco detenidos por agresiones e insultos racistas a un hombre en el aeropuerto de Málaga
42
meneos
actualidad Golpe del TJUE a la banca: el plazo para reclamar los gastos hipotecarios se inicia cuando se declara nula la cláusula
30
meneos
actualidad Silvia Intxaurrondo desentraña cómo se crean los bulos: "No queremos estar en el saco de los que mienten"
41
meneos
actualidad Vicente del Bosque, el elegido por el Gobierno para presidir la RFEF
44
meneos
actualidad Una profesora estuvo seis años impartiendo asignaturas en la Universidad Carlos III sin contrato
21
meneos
actualidad La ola de calor mortal en el Sahel y África Occidental habría sido imposible sin el cambio climático causado por el hombre (Eng)
19
meneos
actualidad [VÍDEO] La extrema derecha revienta un debate sobre las elecciones en Cataluña en la UPF (cat)
21
meneos
actualidad Desahucian al inquilino de una de las infraviviendas del policía sancionado tras una denuncia por impago
43
meneos
actualidad Mujeres arrastradas violentamente por la policía en las calles de Irán en medio del endurecimiento de la represión por no llevar el hiyab [ENG]
31
meneos
actualidad Estados Unidos. Aumentan las tensiones en las protestas universitarias; Johnson pide la dimisión del presidente de Columbia [ENG]
62
meneos
actualidad Cuatro años de ataques personales a Pedro Sánchez: de la “sauna gay” del suegro a una falsa subvención a su mujer
31
meneos
actualidad El PP se empeña en lanzar Boomerangs, en lugar de formular preguntas
m
editado

los hackers son un cáncer del que nunca te podrás librar. se amparan en la ley eterna: "hecha la ley hecha la trampa"

V 0
K 7
D

y cómo saben los suplantadores a qué número de teléfono tienen que enviar el sms?

V 0
K 7
omegapoint

#4 pueden tener la información de otro sistema previamente.

¿o tienes un teléfono distinto para cada servicio?

V 0
K 8
t

#4 Hay personas que introducen la información en la página auténtica en tiempo real

Más aquí:
https://arstechnica.com/information-technology/2018/12/iranian-phishers-bypass-2fa-protections-offered-by-yahoo-mail-and-gmail/

V 1
K 17
redscare

#4 La cosa es:
-Tu metes usuario y contraseña en la página falsa.
-Los malos leen y reenvian ambas a la página real.
-El sistema real te manda el sms.
-Tu metes el código también en la página falsa.
-La página falsa te da un error en plan 'tenemos dificultades temporales'. Y los malos ya se han logado en tu cuenta.

V 11
K 76
balancin

#14 creo que el artículo desaprovecha señalar la importancia de no buscar webs en google para loggearse.
Veo a mucha gente que cree que google es internet. Quieren entrar en facebook y lo buscan (y cualquier otra cantidad de webs más pequeñas y más fáciles de imitar y posicionar).

Creo que mucho de eso se evita usando esa barrita que está arriba en el navegador, o creando los ya dinosáuricos bookmarks.

Si no hay phishing, cualquier 2FA creo que es bastante seguro

V 6
K 52
pawer13

#20 mientras no te metan una entrada en tu fichero hosts o hackeen tu DNS (complicado en ambos casos)

V 0
K 9
D

#20 mis alumnos son incapaces de escribir las URL en la puñetera barra del navegador. Van siempre al buscador de turno

V 0
K 7
D

#14 la mayor incertidumbre sea cual sea la seguridad que tu uses para hacer login, está en no saber cómo estan almacenando mis datos (aunque sea solo mi nombre) en sus bases de datos.

V 0
K 6
D

#4 fácil, enviándo el SMS a todos los números de teléfono , lo vi en una película de hackers

V 0
K 11
D

Pues en las dos cuentas que tengo usan tarjeta de coordenada, para ciertas transacciones además te piden un código por SMS pero no es para cualquier operacion (generalmente para compras). Yo simplemente lo veo como una medida de seguridad adicional a simplemente tener un pin.

V 0
K 6
letra

Sí, claro, lástima que no se puedan reportar los avatares de locos con armas apuntando en una zona urbana. Si te ofende que alguien piense que eres un nazi, en tu página de Facebook hay unas cuantas cosas interesantes. Debe de ser muy tediosa la vida de funcionario y necesitas emociones. Pues vete a buscarlas lejos de las armas y lejos del canal y las trolas de los fascistas. Saluditos.

V 0
K 6
F

Discrepo, el mejor sistema que existe es no ser un completo cretino.

V 0
K 6
D

Microsoft Authenticator me pide el código del teléfono o la huella digital, el token con que me lo roben ya tienen acceso.

V 1
K -1