Con este sencillo truco cualquiera podrá acceder a tu Gmail

¿Están nuestros datos a buen recaudo? La semana pasada nos sobresaltamos con la noticia de que Lastpass, uno de los gestores de contraseñas más conocidos, había sido hackeado y miles de cuentas de usuarios de todo el globo estaban comprometidas. Y no estamos hablando de una cuenta en la que almacenamos fotos, sino de un sistema al que confiamos todas nuestras contraseñas.

Estos servicios prometían, en teoría, una mayor seguridad al permitir al usuario asignar una contraseña a cada acceso y cifrar el contenido, y pronto surgieron las dudas. ¿Hay algo realmente seguro en internet? Parece que hay acuerdo entre los expertos en que la verificación en dos pasos (es decir, que el servicio nos envíe un código temporal al móvil mediante SMS) es el sistema más seguro. Pero nos va a durar poco la tranquilidad, puesto que Symantec ha alertado de una sencillísima manera de acceder a cuentas protegidas con la doble verificación, como Gmail, por ejemplo. Y en unos pocos pasos.

La firma de seguridad ha encontrado una vulnerabilidad en el método de verificación en dos pasos no tanto en el sistema, sino en su ejecución. En el caso descubierto por Symantec, el atacante debe conocer dos datos de la víctima para poder acceder a su cuenta: su correo electrónico y su móvil. Como ven, no es una información realmente difícil de obtener.

Una vez conseguidos estos datos, el funcionamiento de esta práctica de scam es el siguiente: el usuario intenta acceder a uno de los servicios que empleen este método de seguridad e introduce deliberadamente una contraseña equivocada (a fin de cuentas no conoce la reall). A partir de ese punto, el sistema alerta del error y propone la recuperación de la misma, enviando un código de seguridad mediante mensaje de texto al móvil.

Es aquí donde el método de seguridad flaquea, como podrán suponer, por la intervención humana. El atacante, una vez requerido el SMS a Gmail, envía otro mensaje de texto desde un móvil identificándose como Google y alertando de que la cuenta está siendo atacada y que debe responderse a ese mensaje indicando el código que le habrá llegado en otro SMS.

Pónganse en el pellejo de la víctima: una secuencia de mensajes con apenas unos segundos de diferencia y la alerta de un ataque sobre su cuenta. Si a uno le pillan con la cabeza en otro lado o no es muy avezado en el uso de la tecnología, es fácil que el impulso sea enviar el código de seguridad al hacker, que con él, podrá acceder a la cuenta con una nueva contraseña. Graham Culley alerta, además, de un peligro añadido de este ataque.

La víctima tarde o temprano se dará cuenta del acceso no deseado a su cuenta, y lo primero que hará será cambiar la contraseña, pensando que con esta acción terminará la pesadilla. Pero no. El hacker seguirá accediendo a su correo desde el programa con que lo haya configurado a menos que la víctima modifique los accesos en la configuración, algo que, lógicamente, no todo el mundo tendrá en cuenta o sabrá hacer.

Ante todo, sentido común

¿Cómo prevenir este ataque? Solemos tener una falsa sensación de seguridad al creer que no vamos a ser tan estúpidos como para caer en la trampa, pero por desgracia, nuestro nivel de alerta puede descender en determinadas circunstancias. Symantec explica que ningún servicio le pedirá la respuesta a un mensaje o correo. Lo mismo sucede con los bancos, que se curan de informar bien a sus clientes que jamás solicitarán información suya mediante correo electrónico.

En esta semana horribilis de la seguridad en internet, otro gigante, Apple, en este caso, está también en el disparadero. No por una sino por varias flaquezas en sus diferentes sistemas de seguridad. En el caso de los de Cupertino, se está trabajando ya en varios parches que solucionen esta situación, y entre tanto, nuestro mejor aliado será siempre el sentido común.