Los bots OTP son una amenaza relativamente nueva y sofisticada en el cada vez más amplio mundo de las estafas de Autenticación Multifactor (MFA).
En resumen, un bot OTOP es un software automatizado que eluden la autenticación de dos factores, lo que provoca una pesadilla de seguridad para los usuarios y los servicios en línea.
Dado que desafían muchas medidas de seguridad convencionales, comprender y neutralizar los bots OTP se ha convertido en una prioridad para muchas organizaciones.
La configuración del terreno de autenticación: OTP y 2FA
¿Qué son las contraseñas de un solo uso (OTP)?
Las contraseñas de un solo uso (OTP) son códigos de acceso únicos y de corta duración que se envían al número de teléfono de una persona para usarse como una capa adicional de seguridad para transacciones o inicios de sesión en línea. Por lo general, se envía al número de teléfono registrado o al correo electrónico de un usuario y se debe ingresar una OTP dentro de un período de tiempo específico para confirmar la identidad del usuario.
A diferencia de las contraseñas estáticas tradicionales, los OTP son mucho más difíciles de comprometer porque son dinámicas, de corta duración y caducan después luego de un solo uso, lo que las convierte en una opción popular para procesos de autenticación de dos y múltiples factores.
La autenticación de dos factores (2FA) mejora la seguridad al requerir dos métodos de verificación separados. Por lo general, después de ingresar una contraseña, los usuarios reciben una contraseña de un solo uso (OTP) para su número de teléfono a través de SMS, lo que proporciona una segunda capa de seguridad. Sin embargo, los robots OTP han surgido como una herramienta para interceptar estos códigos OTP cruciales, creando un problema de seguridad apremiante.
El proceso de 2FA implica una combinación de dos factores diferentes: algo que sabes (como una contraseña), algo que tienes (como tu teléfono) o algo que eres (como tu huella digital). Esto significa que incluso si un atacante conoce la contraseña, seguirá necesitando el segundo factor (generalmente un código de verificación temporal enviado al número de teléfono de su dispositivo móvil) para acceder a su cuenta.
Ahora que los robots OTP pueden interceptar estos códigos, la eficacia de 2FA se ve algo comprometida, lo que impulsa el desarrollo de métodos de autenticación más avanzados y seguros.
¿Qué son los bots OTP?
Los bots OTP son programas de software automatizados que están diseñados para evitar los sistemas de autenticación de dos factores (2FA). Los bots OTP se utilizan normalmente para obtener ganancias financieras, como acceder y vaciar cuentas bancarias o realizar transacciones fraudulentas.
A medida que más y más servicios en línea han implementado 2FA como una capa adicional de seguridad, los bots OTP se han convertido en una amenaza más importante con su capacidad de eludir los métodos de autenticación tradicionales, lo que facilita a los delincuentes informáticos el acceso a información confidencial utilizando el número de teléfono de la víctima u con otros métodos.
Comprender los ataques de bots OTP y su impacto
Si bien los bots OTP no son esenciales para que funcionen las estafas OTP, pueden escalar y mejorar enormemente las tasas de éxito de las estafas mediante la automatización y una capa adicional de credibilidad. Hay dos tipos de estafas comunes en las que los bots OTP pueden tener un impacto enorme:
Suplantación de identidad
En un ataque de phishing, la víctima potencial suele recibir un mensaje de texto o un correo electrónico afirmando que algo anda mal con su cuenta bancaria con una URL/enlace de apariencia plausible en el que hacer clic. La estafa suele desarrollarse de la siguiente manera:
- La víctima hace clic en el enlace, lo lleva a un sitio fraudulento que imita la página de inicio de sesión del banco e ingresa sus credenciales que el atacante luego utiliza para acceder al sitio real del banco.
- En esta etapa, el acceso directo a la cuenta bancaria se bloquea debido a la dirección IP desconocida del atacante, por lo que se inicia un desafío OTP de autenticación de dos factores (2FA).
- El sitio del estafador solicita a la víctima que seleccione un método 2FA y envía la elección al banco.
- El banco envía una OTP a la víctima, quien la ingresa en el sitio de phishing. El atacante utiliza la OTP para obtener acceso completo a la cuenta bancaria.
- Para evitar sospechas, el estafador puede permitir un acceso transparente al banco o mostrar un mensaje de error falso.
- Luego, el estafador puede realizar transacciones fraudulentas o recopilar información financiera de la víctima.
Uso de malware
Como se mencionó, los bots OTP son software automatizado que se clasifican como malware dada la naturaleza maliciosa de su diseño. En un ataque de malware, el atacante engañará a la víctima para que instale el bot OTP (malware) en su dispositivo. Esto a menudo se logra mediante la explotación de los flujos de restablecimiento de contraseña para sitios que utilizan solo la validación de PIN OTP como desafío para restablecer la contraseña. Una vez que el bot OTP (malware) está en el dispositivo de la víctima, puede monitorear las actividades del dispositivo de la siguiente manera:
- Los OTP para autenticación, como los inicios de sesión bancarios, se envían al teléfono del usuario.
- El malware en el dispositivo del usuario detecta y reenvía secretamente la OTP al atacante.
- El malware avanzado automatiza el proceso: iniciar sesión, interceptar OTP y completar la autenticación.
- Los atacantes obtienen acceso no autorizado para realizar acciones maliciosas (transferencia de fondos, robo de datos).
- El malware puede borrar el mensaje OTP para evitar que el usuario lo detecte.
- Es posible que se instalen malware o puertas traseras adicionales para un acceso sostenido.
Al automatizar el proceso de interceptación de OTP, estos robots pueden realizar ataques generalizados, comprometiendo numerosas cuentas rápidamente y, a menudo, pasando desapercibidos hasta que se desarrolla el daño.
El problema con 2FA
Una de las principales razones por las que los ataques de bots OTP se han vuelto tan frecuentes es la popularidad de 2FA como medida de seguridad adicional. Con la creciente popularidad, han surgido nuevos métodos para eludir este popular método de autenticación. 2FA es ahora un objetivo lucrativo para los ciberdelincuentes que buscan formas de explotar vulnerabilidades y robar información confidencial.
Una vez que los atacantes obtienen un OTP, pueden eludir la 2FA, lo que lleva a la apropiación de la cuenta. Con este acceso no autorizado, los estafadores pueden participar en actividades maliciosas, incluido el robo de recursos financieros, datos personales o el uso de la cuenta para otros esquemas fraudulentos. Esto plantea un riesgo significativo para las personas y también puede resultar en pérdidas financieras sustanciales para organizaciones e instituciones.
LLMs e Ingeniería Social moderna
Con las plataformas modernas de IA generativa como ChatGPT 4, las respuestas automatizadas pueden parecer tan humanas que a menudo se siente como si hubiera una persona real detrás de la "cortina". La ingeniería social moderna busca explotar este avance tecnológico increíblemente prometedor (y desalentador) en el mundo de la tecnología. fraude.
En la ingeniería social tradicional, los atacantes utilizan mensajes engañosos, para hacerse pasar por el director ejecutivo de una empresa y solicitar información urgente, o hacerse pasar por un servicio acreditado que solicita un código de verificación, para engañar a las víctimas y realizar una estafa. Al "diseñar" sus respuestas a su favor, las víctimas desprevenidas creen que están asegurando sus cuentas y proporcionarán la OTP o el código de verificación, lo que sin darse cuenta otorgará a los atacantes acceso a su información.
Los estafadores experimentan cada vez más con Large Language Models (LLMs) avanzados (el aprendizaje automático que impulsa la IA generativa) para crear sistemas automatizados sofisticados capaces de ejecutar ataques de ingeniería social. Estos robots fraudulentos están siendo diseñados para imitar la interacción humana de manera más convincente que nunca. Los LLM se basan en técnicas de fraude "tradicionales" y pueden ampliar enormemente la creatividad y adaptabilidad de los estafadores.
Los robots con tecnología LLM pueden entablar conversaciones en varios idiomas e incluso podrían programarse para realizar inteligencia de código abierto (OSINT) para recopilar datos disponibles públicamente sobre sus objetivos. Esto les permitiría elaborar mensajes altamente personalizados y convincentes que lleven la ingeniería social al siguiente nivel de credibilidad.
Los defectos de los OTP basadas en SMS
A pesar de su cifrado, los mensajes de texto SMS pueden interceptarse por medios técnicos (como robots OTP) o engañando a los representantes de los servicios de telecomunicaciones, explotando el eslabón de seguridad más débil: el error humano.
Además, los atacantes pueden secuestrar la tarjeta SIM de la víctima utilizando técnicas de ingeniería social para hacerse pasar por el usuario y obtener una nueva SIM con el mismo número (una técnica bastante nefasta llamada SIM swapping). Luego reciben todos los mensajes SMS entrantes, incluidos los OTP, esencialmente evitando las medidas 2FA para comprometer las cuentas de las víctimas.
Para mitigar las vulnerabilidades asociadas con las OTP basadas en SMS, las organizaciones recurren cada vez más a soluciones OTP basadas en aplicaciones. En lugar de recibir códigos únicos a través de mensajes de texto, los usuarios los generan dentro de una aplicación móvil o token de hardware designado.
SMS Buster
Algunos atacantes han ampliado su mercado para ofrecer servicios de bot OTP a otros posibles estafadores, como el infame "SMS Buster", por una tarifa de suscripción. Estos servicios de bots OTP permiten que incluso personas poco cualificadas lancen ataques, lo que los hace aún más frecuentes.
Los 'SMS Busters' pueden leer OTP de mensajes de texto, analizarlos en busca de OTP e ingresarlos automáticamente en la aplicación de destino. Estos robots también pueden evitar los desafíos CAPTCHA mediante el uso de la tecnología de reconocimiento óptico de caracteres (OCR).
El impacto en las organizaciones y redes
Las instituciones financieras son los principales objetivos de los robots OTP. Los atacantes aprovechan estos robots para realizar transacciones no autorizadas y transferir fondos sin consentimiento. La automatización y la escala de estos ataques amplifican los riesgos y las pérdidas potenciales tanto para los bancos como para los clientes, quienes tal vez no puedan acceder a sus fondos o sufran pérdidas, sin mencionar el daño a su reputación y las sanciones regulatorias.
Servicios como Google, PayPal e Instagram son víctimas comunes de los ataques de bots OTP. Los usuarios suelen vincular detalles financieros con estas plataformas, lo que las convierte en objetivos atractivos. La capacidad de los bots para eludir los protocolos de seguridad crea vulnerabilidades en torno a los fondos de los usuarios y los datos confidenciales.
Estrategias de prevención
Para combatir los bots OTP, las empresas y los servicios en línea deben implementar fuertes medidas de seguridad que vayan más allá de los métodos tradicionales 2FA. Estos incluyen métodos de autenticación biométrica, como la huella digital o el reconocimiento facial, que son más difíciles de eludir para los robots. Además, las empresas y los servicios deben revisar y actualizar periódicamente sus protocolos de seguridad para mantenerse a la vanguardia de la evolución de las tácticas de los bots.
Los usuarios individuales también pueden tomar medidas para protegerse, incluido cambiar periódicamente las contraseñas y utilizar credenciales de inicio de sesión únicas y complejas para cada cuenta en línea.
Factores 2FA más fuertes
Agregar capas de seguridad más sólidas puede dificultar que los robots OTP obtengan acceso a las cuentas de los usuarios. La incorporación de métodos como la verificación biométrica o tokens de hardware multiplataforma fortalece y diversifica los puntos de control que conducen al acceso a la cuenta. Esto dificulta que los bots eludan los protocolos de seguridad y obtengan acceso no autorizado.
Biometría del comportamiento
La biometría del comportamiento, también conocida como biometría pasiva, es un método de autenticación emergente que analiza los patrones de comportamiento del usuario para identificar y verificar a las personas. Estos incluyen dinámicas de pulsación de teclas, movimientos del mouse, patrones de deslizamiento y otros comportamientos únicos que son difíciles de replicar para los robots. Al monitorear continuamente estos patrones de comportamiento, los servicios en línea pueden detectar actividades sospechosas y bloquear ataques de bots OTP antes de que comprometan información confidencial.
Autenticación web y tokens de hardware
La autenticación web funciona mediante el uso de criptografía de clave pública y tokens de hardware seguros o datos biométricos almacenados en el dispositivo del usuario, lo que previene eficazmente los ataques de bots OTP. Cuando un usuario registra una cuenta, el servidor crea un par de claves pública y privada, con la clave privada o token de hardware almacenado de forma segura en el dispositivo del usuario y la clave pública almacenada en el servidor.
Durante el inicio de sesión, el servidor envía un desafío al dispositivo del usuario, que el dispositivo firma con la clave privada. Luego, el servidor puede verificar la firma con la clave pública almacenada, asegurando que el usuario, y no un bot, esté intentando acceder a la cuenta. Este procedimiento eleva significativamente el listón para los atacantes, ya que ahora deben obtener acceso al dispositivo físico o a los datos biométricos del usuario para evitar la autenticación, lo que no es tarea fácil.
Fuente: Stych