Imagina esto. Es viernes por la mañana. Te despiertas pensando en que solo queda un día para el fin de semana, pero de repente ves un mensaje de texto de tu banco diciéndote que tu saldo es inferior a los 100 €. Te quedas en shock, pero sabiendo que tienes miles de euros en tu cuenta, piensas que es una estafa o un error del banco.
De todas maneras, abres la app del banco en tu móvil, inicias sesión y te das cuenta que no ha sido un error: tu dinero ha desaparecido.
¿Pero cómo puede ser? No tenías ni idea y habías sido suficientemente precavido al configurar la autenticación de dos factores para evitar que cualquier persona pudiera acceder a tu cuenta.
La respuesta está en los SMS. La verificación móvil es utilizada popularmente en la actualidad por bancos, Microsoft 365 y muchos otros servicios conocidos. Cuando inicias sesión en tu cuenta con tu nombre de usuario, contraseña y otras credenciales, se te envía un código de seis dígitos por SMS y solo puedes acceder a tu cuenta una vez lo has introducido.
En teoría, solo tú puedes acceder a tu móvil, así que nadie puede hacerse con el código y hacerse pasar por ti.
Por mala suerte, eso no es así: es preocupante lo fácil que es para los delincuentes interceder esos mensajes sin que tú lo sepas. Sin esforzarse ni gastarse demasiado, pueden acceder a un sistema en el que pueden introducir tu número de teléfono en una casilla, dale a ‘Enter’ y redirigirse tus mensajes de texto.
Una vez han vaciado tu cuenta, desactivan esa redirección y tú no te enteras hasta que te llega una alerta de saldo bajo de tu banco.
Una vez tienen tus credenciales de inicio de sesión y tu número de teléfono, lo único que tienen que hacer es utilizar un método para redirigir esos códigos SMS a un móvil que controlen y podrán entrar en tu cuenta.
No resulta demasiado relevante saber cómo los “malos” consiguen interceptar los mensajes, pero si te interesa particularmente, puedes leer este blog de KrebsonSecurity.
Lo que sí es importante saber es que, aunque es una buena idea utilizar la autenticación de dos factores, los códigos por SMS son la peor forma porque son muy poco seguros. Como Krebs explica en ese blog, el ecosistema de compañías que cualquier persona puede utilizar para interceptar silenciosamente mensajes de texto de otros usuarios de móvil es algo que solo ha sido descubierto recientemente.
Utiliza una app de autenticación de dos factores
Si tu banco, correo electrónico o cualquier otra app o servicio que ofrece la autenticación de dos factores, comprueba si hay la opción de escoger dónde recibirla.
Lo ideal sería poder usar una app de autenticación de dos factores. Se trata de una app individual que funciona en tu móvil y genera códigos. Google y Microsoft tienen aplicaciones de este tipo, pero depende del banco o servicio en cuestión decidir qué métodos ofrecen.
Dicho llanamente, si tu banco solo ofrece verificación por SMS, algo es algo, pero quizás quieras cambiarte a un banco que utilice una app de autenticación, genere códigos dentro de la propia app de banca online o utilice autenticación biométrica como la huella dactilar o reconocimiento facial.
Qué hacer si tu cuenta bancaria es hackeada
Por mala suerte, el ejemplo con el que hemos empezado este artículo pasó de verdad, no era solo una hipótesis. Por suerte, el banco reembolsó el dinero robado al final del día.
Lo que deberías hacer es llamar inmediatamente al banco y explicar que no fuiste tú quién se gastó el dinero: es un fraude. De hecho, se trata de un robo a un banco, aunque en este caso digital y no físico.
También deberías cambiar las credenciales de seguridad asociadas con tu cuenta y, a ser posible, cambiar a un método de verificación en dos pasos distinta.
Saber cómo los hackers se han hecho con tus datos de inicio de sesión y otra información personal es mucho más difícil, pero aunque es cierto que no puedes cambiar tu nombre o dirección (tan fácilmente), puedes asegurarte de que ninguna otra cuenta utilice la misma contraseña.
Querrás cambiar tu número de teléfono si otros servicios que utilizas utilizan autenticación de dos factores por SMS, y Brian Krebs recomienda que tu número de teléfono ya no esté asociado a tu correo electrónico y de cualquier otro servicio online.
“Por mala suerte, muchos proveedores de correo electrónico siguen dejando que sus usuarios reinicien las contraseñas de sus cuentas a través de un enlace enviado por SMS al número asociado con la cuenta. Así que elimina el número de teléfono para proteger tu correo electrónico y asegúrate de seleccionar un segundo factor más robusto para todas las opciones de recuperación de tu cuenta.”
De forma similar, Simon Edwards de SE Labs aconseja tratar tu correo electrónico con mucho más respeto. “Tu correo electrónico es una de las cosas más importantes que deberías proteger. Protégelo con una contraseña fuerte y activa la autenticación de dos factores si está disponible. Obviamente, no elijas recibir los códigos por SMS a no ser que sea la única opción, pues algo es algo”, aseguró a Tech Advisor.
Otra opción que puede que encuentres en tu app de banca online, o mediante la página web de tu banco, es que te manden una notificación cuando se realiza un pago por encima de una cantidad determinada. Como mínimo, esto te avisará de que se están realizando transferencias o compras que desconocías.
Para más protección, quizás te interese nuestra selección de mejores gestores de contraseñas.
Artículo original publicado en Tech Advisor UK.