EDICIóN GENERAL
222 meneos
3719 clics
El phishing se apodera de la verificación en dos pasos. Los tokens físicos, la mejor opción según Amnistía Internacional

El phishing se apodera de la verificación en dos pasos. Los tokens físicos, la mejor opción según Amnistía Internacional

Sorprende descubrir que Amnistía Internacional se dedica a hacer auditorías de ciberseguridad, pero tienen un buen motivo: su participación en proyectos en Oriente medio y África ha servido para detectar que allí los hackers han puesto en problemas algunos sistemas de verificación en dos pasos (2FA, Two Factor Authentication).

| etiquetas: phishing , tokens , amnistía , ciberseguridad
-nal.

(¡qué a gusto me he quedado!)
#1 la verdad es que da rabia cuando lees un texto y dejan la última palabra a medi

:troll: :troll:
En informática nunca (nunca, nunca, nunca) hay un sistema completamente seguro.
Los "tokens físicos" existieron durante muchos años como sistemas de seguridad para programas (sin determinado dispositivo enchufado en un puerto el programa no funcionaba) y siempre acabó habiendo un hacker que se lo saltaba. Al final se trata de conseguir que el verificador crea que el token está ahí, aunque no lo esté, y el token es solamente otro programa con información (muy poca además).
#3: Lo mejor es cuando los hacen en China. xD

Nada en contra de los chinos, pero en mi opinión, si una empresa es de España, lo mejor sería hacer los tokens en España o al menos un país de la UE.
#3 Pero lo que estas describiendo es un sistema donde el hacker tiene acceso al sistema de verificación, casi parece un escenario offline. En uno online hay un tercero, el servidor, el que se encarga de verificar, y es un bastante mas complicado engañar el servidor sin tener acceso.

Lo que si que es verdad, es que no hay, y probablemente no habra(lo unico que se me ocurre es que la computacion cuantica venga al rescate) un sistema al 100% seguro. Lo que si que se intenta es complicar lo máximo posible el trabajo del hacker para que no valga la pena hackear. Pero al final es como todo, cuanto mas grande es el premio mas incentivo habrá para romperse la cabeza.


#15 ¬¬
#13 Hay muchos sistemas seguros lo que no son es económicamente viables, siempre estamos usando los más "seguros" que económicamente sea asumible por entiendad te lo dice alguien que tiene token físico
#3 Lo que describes no aplica.

Lo que tú describes es la modificación del programa para que crea que el token está conectado o para que directamente ignore esa verificación y siga funcionando. Para ello se necesita modificar y ejecutar ese programa.

En este caso los tokens físicos a los que se refiere el meneo aportan información que se introduce a través de la red para que el programa que confirma su validez lo reciba en la sede donde se ofrece el servicio, ya sea la banca electrónica, un…   » ver todo el comentario
#3 A efectos prácticos cualquier sistema de seguridad informático se resume en que un sistema te pregunte "¿eres tú?" y tú le contestes "sí".

Uso este ejemplo en particular porque más de una vez he visto gente que le abre la puerta a cualquiera porque justamente al llamar a la puerta le ha dicho "yo" y sin estar seguro de quién era le ha abierto el portal.
#3 Ni que el artículo fuera patrocinado pir un fabricante de smartcards cool con nuevo nombre. xD xD :hug:
#3 Hace poco estuve leyendo sobre este tema, y por lo que entendí estos tokens se basan en criptografía de clave pública. Tienen una clave privada que se genera en el propio token y que nunca sale de ahí, y es su hardware el que se encarga de realizar las operaciones de cifrado y firma digital. Los tokens, por su propio diseño, son imposibles de duplicar. Un sistema así es extremadamente difícil de romper.
y cómo saben los suplantadores a qué número de teléfono tienen que enviar el sms?
#4 pueden tener la información de otro sistema previamente.

¿o tienes un teléfono distinto para cada servicio?
#4 Hay personas que introducen la información en la página auténtica en tiempo real

Más aquí:
arstechnica.com/information-technology/2018/12/iranian-phishers-bypass
#4 La cosa es:
-Tu metes usuario y contraseña en la página falsa.
-Los malos leen y reenvian ambas a la página real.
-El sistema real te manda el sms.
-Tu metes el código también en la página falsa.
-La página falsa te da un error en plan 'tenemos dificultades temporales'. Y los malos ya se han logado en tu cuenta.
#14 creo que el artículo desaprovecha señalar la importancia de no buscar webs en google para loggearse.
Veo a mucha gente que cree que google es internet. Quieren entrar en facebook y lo buscan (y cualquier otra cantidad de webs más pequeñas y más fáciles de imitar y posicionar).

Creo que mucho de eso se evita usando esa barrita que está arriba en el navegador, o creando los ya dinosáuricos bookmarks.

Si no hay phishing, cualquier 2FA creo que es bastante seguro
#20 mientras no te metan una entrada en tu fichero hosts o hackeen tu DNS (complicado en ambos casos)
#20 mis alumnos son incapaces de escribir las URL en la puñetera barra del navegador. Van siempre al buscador de turno
#14 la mayor incertidumbre sea cual sea la seguridad que tu uses para hacer login, está en no saber cómo estan almacenando mis datos (aunque sea solo mi nombre) en sus bases de datos.
#4 fácil, enviándo el SMS a todos los números de teléfono , lo vi en una película de hackers
Este titular hace llorar a @xtrem3
Microsoft Authenticator me pide el código del teléfono o la huella digital, el token con que me lo roben ya tienen acceso.
Yo tengo una discusión permanente con los bancos y sus tarjetas de firma. Dejadme elegir mi clave y memorizarla en lugar de tener una tarjeta dónde está apuntada que me pueden robar o, peor aun, fotografiar.

Si acaso, clave y contraclave al movil. Y con las criptollaves sin código pasa lo mismo.

Y recordar que seguridad y comodidad están reñidas.
#11 ¿Todavía quedan bancos que utilizan tarjetas de coordenadas? o_o o_o
#25 Yo tengo cuenta abierta en tres bancos distintos, y los tres usan tarjeta de coordenadas, pero adicionalmente piden un código que te envían por SMS para hacer cualquier operación.
#25 Como dice #27 la mayoría piden además la clave de SMS. Otros tienen firma solo con token y otros con criptocalculadora. Yo era muy feliz cuando pedían posiciones aleatorias de una clave de firma establecida por mi.
#25 La Caixa, por ejemplo
#11 Si haces eso la mayoría de la gente elegirá una contraseña sencilla que utiliza en otras webs.

Yo nunca memorizo una contraseña, siempre uso una distinta totalmente aleatoria, de la máxima longitud que deja la web, tengo contraseñas de 100 caracteres y otras en webs de mierda de 10 caracteres porque no dejan meter más.
#34 eligen la de entrada al banco. La de firma la estas estampando en una tarjeta o un token. Al final, en una oficina con varias cuentas, la seguridad está en la de entrada, la otra está en un cajón.
los token fisicos siempre van a ser mas seguros, pero claro, entonces se quedan sin excusa para sonsacarte tu numero de movil.. ;)
Alguien se fía aún de la “ong” de la CIA?
#16 Más que de los nazis, y sus teorías conspiranoicas sobre cualquier organización de ideología progresista que no controlen, sí.
#18 ¿de que nazis hablas ? :shit:
#24 De los que dan la matraca con que todas las causas progresistas son pantallas de Soros, o la CIA, o los Illuminati, o "los siete sabios de Sion" ¿te suenan?
#33 no. Solo me suenan los cascos blancos, y me basta.
#35 Interesante, con una sola cosa eres capaz de engañarte a ti mismo.
#36 así como lo veo yo tenias dos opciones: dar algún argumento o dar una respuesta de sobradete. Has ido a lo fácil

www.google.es/amp/s/actualidad.rt.com/actualidad/226351-lado-oscuro-ca
#37 Para mí lo fácil es dar un argumento e ir de sobradete sería enlazar a un medio de comunicación neonazi pretendiendo demostrar algo con las trolas de dos fascistas como Putin y Assad.
#37 Rebollo, si me permites acabo de darme cuenta que tu avatar es el de alguien armado que está amenazando lo que parece un asentamiento de población civil. Posiblemente sea una foto tomada mientras jugabas al paintball y soñabas con alguna clase de limpieza étnica que, tras un simple análisis genético, también te llevaría a ti por delante. ¿Has considerado cambiar ese avatar por algo que no deje en evidencia la enfermedad ideológica que sufres o te vas a seguir haciendo daño a ti mismo leyendo Russia Today?
#42 vale tío. Que eres un cazanazis de internet. Ya tenía idea de cuando me has empezado con desvaríos de noseque de Sion de lo que yo no tengo ni puta idea, pero se te ve experto. Luego te atreves a insultar a la gente con que si me gustaría hacer una limpieza etnica, que te va a costar un reporte, además de llámeme nazi, cosa que para ti no se pero para mi es un insulto grave a la vez que gratuito.

Te sugiero que cambies tu manera de ver el mundo, te crees un martillo, y para un martillo todos los demás son clavos. Solo que no atinas ni media. Pero eso no hace que pares en tu cruzada que solo existe en tu mente.


Ale, a pastar.
Lo mejor del token es cuando lo pierdes.
los hackers son un cáncer del que nunca te podrás librar. se amparan en la ley eterna: "hecha la ley hecha la trampa"
Los protocolos de correo deberían modificarse para exigir proof of work, esto acabaría con el spam y por tanto dificultaría enormemente el phising. Claro que Google tendría que gastar una pasta para enviar tantos correos como manda.
Discrepo, el mejor sistema que existe es no ser un completo cretino.
Pues en las dos cuentas que tengo usan tarjeta de coordenada, para ciertas transacciones además te piden un código por SMS pero no es para cualquier operacion (generalmente para compras). Yo simplemente lo veo como una medida de seguridad adicional a simplemente tener un pin.
Sí, claro, lástima que no se puedan reportar los avatares de locos con armas apuntando en una zona urbana. Si te ofende que alguien piense que eres un nazi, en tu página de Facebook hay unas cuantas cosas interesantes. Debe de ser muy tediosa la vida de funcionario y necesitas emociones. Pues vete a buscarlas lejos de las armas y lejos del canal y las trolas de los fascistas. Saluditos.

menéame