La autenticación en dos pasos es un escudo contra el phishing, el robo de cuentas y otras amenazas de los ciberdelincuentes. Cuando se activa, al usuario no le basta con introducir una sola contraseña para acceder a un sitio o a un documento, sino que debe añadir un código (que se suele enviar al móvil del usuario por SMS), un patrón de desbloqueo o una huella dactilar.
Tal y como explican desde la empresa Kaspersky, especializada en ciberseguridad, los sitios generalmente envían un código de verificación en forma de texto, correo electrónico, notificación push, mensaje instantáneo o incluso llamada de voz. Pero incluso con esta segunda capa de protección “las cuentas personales siguen siendo vulnerables a los bots de OTP, un software automatizado que engaña a los usuarios para que revelen sus OTP mediante ingeniería social”.
Qué es un bot de OTP
Estos bots, según Kaspersky, se controlan a través de un panel de control en un navegador web o a través de Telegram y se hacen pasar por organizaciones legítimas, como bancos , para engañar a las víctimas. Así, son programas o sistemas informáticos maliciosos diseñados para obtener contraseñas de un solo uso (OTP) de usuarios desprevenidos. No hace falta ser un genio de la programación para utilizarlos, lo que incrementa su peligrosidad.
El engaño funciona de la siguiente manera: la víctima recibe en su teléfono una contraseña de un solo uso que no ha solicitado y, a continuación, el bot OTP le llama y utiliza un script preparado para convencerla de que le comunique dicho código. Puede hacerse, por ejemplo, fingiendo que hay un problema con la app del banco que debe resolverse.
Obtener acceso a las cuentas
La víctima, preocupada, sigue al pie de la letra las instrucciones del timador. Cuando introduce el código en el teclado de su teléfono sin colgar la llamada, ese mismo código ingresa a su vez en el panel de administración del atacante o el bot. Así, el timador ya puede cazar a su víctima: introduce el código en el recurso deseado y obtiene acceso a la cuenta del afectado.
Lo más importante para el bot es resultar persuasivo. En ocasiones genera una voz o un acento específico con IA.
Cómo protegerse
Para mantenerse protegido, Kaspersky recomienda estar al tanto de las filtraciones. Por ejemplo, si un usuario es cliente de Banco Santander y se entera de que la empresa ha sufrido un hackeo masivo, debe actuar rápido y cambiar sus claves cuanto antes. También conviene sospechar de cualquier OTP que se reciba sin haberla solicitado, tener contraseñas únicas para cada cuenta y no introducir los datos en ficheros o formularios sospechosos.
Otro consejo útil es revisar bien las URL. “Uno de los trucos preferidos de los estafadores es dirigirte a un sitio de phishing mediante la sustitución de un par de caracteres en la barra de direcciones. Tómate siempre un momento para verificar que te encuentras en un sitio legítimo antes de introducir datos confidenciales”, apuntan.