En un informe, Google destaca la importancia de vincular un teléfono a una cuenta cuando se trata de luchar contra los intentos de secuestro, y ataques automatizados de robots, phishing y dirigidos.
No es de extrañar que las cuentas de correo electrónico sean codiciadas por ciberdelincuentes de cualquier tipo. Los intentos de secuestro de cuentas ocurren todos los días, por cientos de miles, y compañías como Google han desarrollado defensas contra estas amenazas.
Añadir un número de teléfono de recuperación a la cuenta de Google parece ser una forma eficaz de ganar contra los ataques de absorción, especialmente si no están dirigidos.
Un estudio de investigadores académicos muestra que cuando una cuenta de Google estaba vinculada a un teléfono, las tasas de prevención de adquisiciones aumentaron hasta un 100% en el caso de los robots automatizados, hasta un 99% en el caso del phishing común y hasta un 90% en el de los ataques dirigidos.
Los expertos tuvieron en cuenta más de 350.000 intentos de secuestro en el mundo real en una muestra de 1,2 millones de usuarios.
Google es proactivo en la seguridad de las cuentas de usuario y se basa en la rutina de los usuarios para determinar la legitimidad de un intento de acceso de forma pasiva. Entre las señales empleadas se encuentra el origen de la solicitud de acceso, que incluye tanto el dispositivo como la ubicación.
En términos sencillos, cuando los usuarios inician sesión en sus cuentas desde un dispositivo o ubicación diferente, se les pide que demuestren que son los propietarios legítimos mediante la resolución de un segundo problema de autenticación.
Cuando se detecta un inicio de sesión sospechoso, los usuarios pasan por un paso de verificación adicional, que puede estar basado en el conocimiento (responder preguntas de seguridad, proporcionar un número de teléfono de recuperación o una dirección de correo electrónico) o basado en un dispositivo (probar el acceso a un dispositivo registrado).
Según un estudio de investigadores de la Universidad de Nueva York y Google, los esfuerzos del mundo real para secuestrar una cuenta de Google fueron en su mayoría ineficaces contra los desafíos basados en dispositivos.
Desafortunadamente, las claves de seguridad añaden fricción al reto de autenticación que la mayoría de los usuarios no están dispuestos a aceptar. Esta es la razón por la que suelen ser utilizados por una categoría de usuarios que tienen más probabilidades de convertirse en víctimas de un ataque dirigido. Para la mayoría de los usuarios, incluso tener el teléfono listo no es posible en todo momento.
La forma más débil de protección resultante del estudio fue la autenticación común basada en SMS, que puede ser derrotada si el atacante en una posición de hombre en el medio despliega un ataque de phishing en vivo e intercepta solicitudes y realiza comprobaciones de validez en tiempo real.
“Si ha iniciado sesión en su teléfono o ha configurado un número de teléfono de recuperación, podemos proporcionar un nivel de protección similar al de la verificación de dos pasos mediante desafíos basados en dispositivos”, afirman los investigadores de Google.
La alternativa de no tener un teléfono conectado a la cuenta de Google es que la recuperación debe basarse en desafíos más débiles, basados en el conocimiento, que pueden ser conocidos por un atacante, o muy fáciles de descubrir. Aunque esto funciona contra los robots automatizados, el phishing puede tener éxito en hasta el 90% de los casos.
Si no tienes un número de teléfono de recuperación establecido, es posible que tengamos que recurrir a los desafíos más débiles basados en el conocimiento, como recordar tu última ubicación de inicio de sesión. Esta es una defensa eficaz contra los robots, pero los índices de protección para el phishing pueden bajar hasta el 10%. La misma vulnerabilidad existe para los ataques selectivos. Esto se debe a que las páginas de phishing y los atacantes objetivo pueden engañarlo para que revele cualquier información de identificación adicional que le pidamos.
Es importante destacar que Google proporciona otros medios para que los usuarios protejan sus cuentas contra los intentos de adquisición. Confiar en la aplicación de autenticación que genera códigos para el inicio de sesión del segundo factor y utilizar códigos de copia de seguridad de un solo uso también son opciones disponibles. Sin embargo, ambos son considerados menos convenientes desde el punto de vista de un usuario promedio porque toma más tiempo completar el desafío.
Con información de: Bleeping Computer.
Spanish
English
Portuguese
Chinese (Simplified)
Russian
French
German
Dutch
Italian