SAN FRANCISCO - Los intentos exitosos de phishing pronto serán cosa del pasado, si los esfuerzos de Google, Microsoft y otras compañías resultan fructíferos.

Google y sus socios están liderando el cambio de contraseñas y hacia llaves de seguridad USB físicas, Dijeron los investigadores de Google Neal Mueller y Collin Frierson en la conferencia de seguridad BSides SF aquí el lunes (16 de abril). La propia Google distribuyó llaves de seguridad USB a sus propios empleados hace unos años, con buenos resultados.

Crédito: Shutterstock
(Crédito de la imagen: Shutterstock)

"En los cuatro años desde que Google implementó las llaves de seguridad", dijo Mueller, "no hemos tenido ningún intento exitoso de phishing en Google".

Eso no significa que los phishers no lo estén intentando. Incluso las personas preocupadas por la seguridad se enamorarán de un ataque de suplantación de identidad, y los phishers están creando páginas de phishing con mejor apariencia todo el tiempo. Su corresponsal fue acogido recientemente por uno, y sólo su software antivirus impidió que sus credenciales fueran robadas.

MÁS: Aquí está la configuración única de Gmail que debe activar ahora

El phishing no requiere piratería, ya que es esencialmente una estafa: "ingeniería social", para usar el término de la industria. Todo lo que tiene que hacer es engañar a alguien para que le dé su nombre de usuario y contraseña.

Debido a que se basa en la naturaleza humana, que es difícil de solucionar, el phishing sigue siendo una de las principales causas de filtraciones de datos, robos en línea y apropiación de cuentas. Mueller y Frierson dijeron que una encuesta de datos de Gmail reveló que 12 millones de personas habían sido víctimas de ataques de phishing en un solo año: mucho más que las 788.000 personas que habían sido víctimas de keylogging malware.

Una línea reciente de llaves de seguridad de Yubico. Crédito: Yubico
(Crédito de la imagen: una línea reciente de llaves de seguridad de Yubico. Crédito: Yubico)

Autenticación de dos factores (2FA) no siempre ayuda a vencer el phishing, especialmente si el segundo factor es un código de acceso único enviado por mensaje de texto SMS. El lunes temprano, Jerrod Chong de Yubico demostró un ataque de phishing extremadamente convincente que tenía como objetivo a Gmail y le pedía a la víctima que ingresara su número de teléfono móvil para fines de verificación, lo que habría permitido al atacante interceptar y capturar el mensaje de texto enviado contraseña.

Incluso conocer el número de teléfono de la víctima no es necesario para un robo único, señalaron Mueller y Frierson. Cuando un phisher engaña a una víctima para que ingrese sus credenciales de Google en una página de inicio de sesión de Google falsa, el atacante puede ingresar inmediatamente las credenciales robadas en la página de inicio de sesión de Google real. Google enviará un código de acceso de una sola vez al teléfono de la víctima, que la víctima ingresará en la página de inicio de sesión falsa.

Yubico fabrica la conocida clave de seguridad Yubikey y, junto con Google, lidera la Alianza FIDO (Fast IDentity Online) para estandarizar los métodos de autenticación sin contraseña. Llaves de seguridad USB como Yubikey o Las propias llaves de seguridad de Google han demostrado ser una defensa eficaz contra los ataques de phishing y cuentan con el respaldo de Facebook, Dropbox, Salesforce y muchas otras empresas.

MÁS: Qué es la autenticación de dos factores (2FA) y cómo habilitarla

Solo el usuario legítimo poseerá la clave física para conectarla a un puerto USB o tocar un teléfono móvil. (Muchas llaves de seguridad también tienen funciones NFC para conectarse de forma inalámbrica con dispositivos móviles a muy corto alcance).

La Alianza FIDO está en proceso de reemplazar su estándar U2F (Universal Two-Factor) existente con lo que llama FIDO 2, dijo Chong. Parte de FIDO 2 es el próximo estándar WebAuthn, anunciado a principios de este mes, que permitirá a los usuarios iniciar sesión en sitios web sin contraseña. Con FIDO 2, Microsoft y Mozilla se unen a la Alianza FIDO.

El resultado final de FIDO 2 es que la gente no use contraseñas en absoluto, dijo Chong. Pero cuando le preguntamos cómo un usuario se registraría para obtener una cuenta web en primer lugar sin contraseña, Chong no tuvo una respuesta sólida. Solo podía decir que la Alianza FIDO estaba buscando "opciones diferentes".

Sin embargo, el estándar FIDO U2F actual proporciona mucha protección, dijeron Mueller y Frierson, la propia implementación de Google del estándar verifica al usuario al examinar 38 factores diferentes.

Por ejemplo, Google ya conoce el sistema operativo preferido del usuario, el navegador preferido, el nivel de cifrado del navegador y la ubicación general. Si suelo usar Chrome en Windows 7 desde Nueva York, pero alguien que inicia sesión como yo está usando Edge en Windows 10 de Kiev, Google rechazará el intento hasta que esa persona pueda conectar mi seguridad USB llave.

"Las llaves de seguridad son mucho más fáciles de usar que una contraseña de un solo uso", dijo Mueller.

  • Qué hacer si su cuenta de Facebook es pirateada
  • Cómo proteger su identidad, datos personales y propiedad
  • Qué hacer después de una violación de datos

Obtenga acceso instantáneo a noticias de última hora, las mejores críticas, grandes ofertas y consejos útiles.

Gracias por registrarse en Tom's Guide. Recibirá un correo electrónico de verificación en breve.

Había un problema. Actualice la página y vuelva a intentarlo.

Sin spam, lo prometemos. Puede darse de baja en cualquier momento y nunca compartiremos sus datos sin su permiso.