No importa si es la cuenta de WhatsApp, Instagram, una billetera virtual o cualquier otra plataforma digital. Solo aquel que lo ha vivido, sabe lo que se siente al descubrir que ha sido hackeado y su privacidad, invadida. Sorpresa, ira, desesperación e impotencia son algunas de las emociones perturbadoras que se suelen experimentar al sufrir una intrusión de este tipo.
Más allá de las repercusiones sociales y económicas, experimentar la ciberdelincuencia como víctima puede transformarse en un evento traumático con un costo psicológico enorme y perdurable en el tiempo, al igual que sucede con las víctimas de la inseguridad urbana. Las consecuencias emocionales pueden comprender desde la pérdida de confianza en uno mismo -por no haber logrado proteger su información personal-, hasta culpa y elevados niveles de estrés y ansiedad.
Si bien no existen sistemas o personas 100% invulnerables al hackeo, quienes aplican medidas de seguridad menos rigurosas tienen más posibilidades de convertirse en víctimas de los ciberdelincuentes. Es que los hackers no suelen enfocarse en individuos específicos, sino que buscan a aquellos con credenciales débiles y más susceptibles a un ataque exitoso.
Una de las mejores formas de proteger los datos es utilizando métodos de autenticación multifactor (MFA por sus siglas en inglés). Este procedimiento, que combina la contraseña con otro elemento de acreditación, garantiza un nivel de seguridad mucho más alto que solo utilizar una contraseña. De hecho, según Alex Weinert, Director de Seguridad de Identidad en Microsoft, el riesgo de que una cuenta se vea comprometida se reduce en un 99,9% si se utiliza autenticación multifactor. Esto es porque si un hacker tuviera en su poder alguna de nuestras contraseñas, necesitaría además tener otra pieza de autenticación para tener acceso a la cuenta.
Existen diferentes tipos de MFA: la autenticación basada en datos biométricos, como la huella digital o el reconocimiento facial. La autenticación basada en contexto, que utiliza elementos como la ubicación geográfica o el dispositivo utilizado para validar la identidad del usuario. La autenticación de dos factores (2FA), que además de una contraseña requiere un código generado por una aplicación, un código enviado por SMS o una llave de seguridad; y la autenticación de tres factores o más (3FA), que combina una contraseña, un código generado por una aplicación y algún dato biométrico.
Este último método es utilizado casi exclusivamente en empresas que requieren un alto nivel de seguridad o en organismos gubernamentales que trabajan con información confidencial o sensible, mientras que la autenticación de dos factores se encuentra mucho más extendida, tanto a nivel profesional como entre usuarios no especializados. De estos, la gran mayoría elige recibir una notificación vía SMS, que si bien es una opción muy común, también es la más insegura.
“Los SMS, al igual que el correo tradicional (tanto digital como físico) y las líneas telefónicas estándar, nacieron con el fin de brindar medios de comunicación efectivos y ágiles que no priorizan la seguridad, sino más bien el dinamismo y la sencillez de uso”, explica Roberto Rubiano, ingeniero informático y magister en seguridad de la información. “Paradójicamente, en los sistemas de autenticación digitales, muchos de estos canales se transformaron en herramientas de validación adicional, ya que a pesar de ser inseguros funcionan como un chequeo secundario extra, complementario a otro considerado principal”, agrega.
“Uno de los grandes problemas de utilizar SMS como segundo factor de autenticación deriva de lo que llamamos ataques de SIM Swapping, una técnica donde un atacante logra hacerse con el chip telefónico de la víctima para clonar o directamente reemplazar la línea del afectado”, precisa el especialista en seguridad. “Podemos definir al SIM Swapping como una forma de «secuestro» del número de celular, donde engañando al proveedor de telefonía los atacantes se hacen con una copia de nuestra tarjeta SIM” detalla Rubiano.
Los delincuentes logran obtener información de la víctima mediante el uso de técnicas de ingeniería social como el phishing o reuniendo información online. Luego utilizan estos datos para suplantar su identidad y solicitar una SIM de reemplazo a la empresa de telefonía. El chip permite al atacante no solo acceder a los mensajes de texto recibidos que se han establecido como segundo factor de autenticación, sino que también pueden restablecer las contraseñas de las cuentas vinculadas a ese número telefónico. Un verdadero escenario de pesadilla.
“Con esto, los atacantes pueden hacerse de información confidencial mediante las aplicaciones que logren vulnerar con la obtención del 2FA, accediendo al mail, usando nuestra mensajería instantánea (como Whatsapp) e incluso aplicaciones financieras”, describe el experto. “¿Cómo prevenirlo? Siendo cuidadosos con nuestra información personal y -siempre y cuando sea técnicamente posible- no utilizando al SMS como segundo factor de autenticación”, añade Rubiano.
Una manera sencilla y efectiva de añadir una capa de protección extra sin tener que recurrir al desaconsejable SMS son las aplicaciones de autenticación gratuitas como Google Authenticator, Authy, Microsoft Authenticator y 2FAS. Estas apps generan códigos de acceso únicos que son requeridos junto a la contraseña para iniciar sesión en una cuenta online.
Si bien estas aplicaciones son muy fáciles de usar, hay que prestar especial atención al momento de configurarlas. Generalmente se proporciona un conjunto de claves de recuperación que deben ser guardadas en un lugar seguro, ya que en caso de perder o dañar el teléfono, también se perderá el acceso a las cuentas que utilizan la aplicación de autenticación.
No existen métodos de seguridad infalibles, pero con un poco de esfuerzo podemos hacerle el trabajo más difícil a los ciberdelincuentes. Combinando algunas precauciones como contraseñas únicas y seguras, software actualizado y cuidado al navegar por internet, la autenticación multifactor reducirá enormemente las probabilidades de que las cuentas sean hackeadas. ¿Es fastidioso? Sí, pero la seguridad en línea no es para tomar a la ligera. Un clic mal dado nos puede salir muy caro.