La autenticación de dos factores (2FA) y la autenticación multifactor (MFA) son herramientas esenciales para proteger tus cuentas digitales. Sin embargo, incluso estas capas de seguridad pueden ser vulnerables si no se usan correctamente o si el usuario no está alerta ante intentos de suplantación.
Por ejemplo, la autenticación 2FA utiliza dos factores, que pueden ser del mismo tipo (por ejemplo, contraseña + código SMS) y la MFA requiere al menos dos factores independientes, como contraseña + huella digital o código de una app de autenticación. Los códigos enviados por SMS son considerados los menos seguros, ya que pueden ser interceptados o solicitados mediante engaños.
Investigadores de seguridad han identificado nuevas plataformas de Phishing-as-a-Service (PhaaS), como Salty 2FA, que pueden evadir múltiples métodos de autenticación, incluyendo SMS, voz y notificaciones push. Este tipo de ataques se ha detectado en sectores como finanzas, telecomunicaciones y educación.
TE PUEDE INTERESAR: Microsoft 365 integra Copilot Chat gratis en Word, Excel y PowerPoint
Tácticas comunes de ataque con autenticación de dos factores
- Bombardeo de notificaciones (prompt bombing)
Los atacantes envían múltiples solicitudes de autenticación en poco tiempo, esperando que el usuario apruebe una por error o por frustración. Si recibes una notificación de 2FA sin haber intentado iniciar sesión, no la apruebes. - Solicitudes desde dispositivos o ubicaciones desconocidas
Si ves una alerta de inicio de sesión desde un sistema operativo que no usas (por ejemplo, Windows cuando tienes Mac) o desde una región geográfica inesperada, es una señal clara de intento malicioso. - Pantallas de consentimiento sospechosas (OAuth phishing)
Algunas apps o sitios falsos solicitan permisos excesivos, como acceso a tus correos, contactos o archivos. Si el permiso no coincide con la acción que estás intentando realizar, detente y verifica. - Mensajes falsos por teléfono, SMS o correo electrónico
Los atacantes pueden hacerse pasar por empresas legítimas para pedirte códigos de autenticación. Recuerda: ninguna empresa te pedirá tu código 2FA por estos medios sin que tú lo hayas solicitado.
Consejos para protegerte
- Usa aplicaciones de autenticación como Authy o Google Authenticator en lugar de SMS.
- Activa alertas de inicio de sesión en tus cuentas para detectar accesos no autorizados.
- Nunca hagas clic en enlaces de mensajes sospechosos. Accede directamente al sitio web oficial.
- Si recibes múltiples solicitudes de autenticación sin haber iniciado sesión, cambia tu contraseña inmediatamente.
- Verifica la ortografía, el diseño y la URL de cualquier página que solicite tus credenciales. Los sitios de phishing suelen tener errores sutiles.