Un hacker burla fácilmente la verificación en dos pasos de Google

Software

Mayúsculas y minúsculas, números y letras, más de diez caracteres. ¿No os ha pasado, a veces, que ni siquiera sabes qué contraseña poner para que encaje con estos requisitos de seguridad? Pues no es suficiente, y la mejor alternativa que tenemos es utilizar la verificación en dos pasos. Pero, cuidado, porque un hacker la ha conseguido burlar sin problemas.

Gracias a la verificación en dos pasos, incluso aunque tengan nuestra contraseña debería ser imposible que accedieran a nuestro correo electrónico. ¿Por qué? Fácil, porque es necesario un código de acceso único, de un solo uso, que es generado con nuestro teléfono inteligente. Pero, tal y como cuenta Grant Blakeman, esto se puede solucionar de una forma realmente simple, como hizo un hacker para obtener acceso a su cuenta de Intagram.

Para conseguir el acceso a la cuenta de correo electrónico de Grant Blakeman, protegida por el sistema de verificación en dos pasos, el hacker se valió del operador de telecomunicaciones de su víctima. Aunque Blakeman no especifica cómo ocurrió, el caso es que el hacker que atacó su cuenta de correo electrónico habló anteriormente con su operador para indicarles que los mensajes fueran enviados también a su número, por lo que muy probablemente se hiciera pasar por la víctima de cara al operador, de tal forma que le permitieran cambiar este tipo de opciones.

google-2-steps-verification

En cualquier caso, a partir de aquí fue tan fácil como entrar en la cuenta de correo electrónico de Google de su víctima, recibir el código en el móvil, y a partir de aquí pudo restablecer la contraseña de la cuenta de Instagram de su víctima, y así es como consiguió acceso a Instagram , y a su correo electrónico, pasando por la verificación en dos pasos de Google.

Por suerte, recientemente Google ha dado un paso más hacia adelante en materia de seguridad y ha dado a los usuarios de la verificación en dos pasos de Google la posibilidad de utilizar una llave USB física para el acceso directo a su cuenta de correo electrónico.

Escrito por Carlos González

Fuente > Gizmodo

Continúa leyendo
Comentarios
12 comentarios
  1. Anónimo
    Usuario no registrado
    02 Nov, 14 1:26 pm

    Realmente no se ha burlado el sistema de verificación sino a quien cambió el móvil al que se dirigen los mensajes, lo cual tampoco se entiende, ya que no es algo que el operador pueda hacer. De todas formas si se usa el generador de claves desde el móvil eso tampoco sería posible ¿No?

    1. Porculio 02 Nov, 14 1:55 pm

      Exacto, yo también supongo que con el generador de claves no podría pasar esto.

    2. Anónimo
      Usuario no registrado
      03 Nov, 14 10:26 am

      ¿como que no es algo que el operador no pueda hacer?

      ¡claro que puede!

  2. Anónimo
    Usuario no registrado
    02 Nov, 14 1:44 pm

    El problema de seguridad es de la operadora del móvil de la víctima, no los 2 pasos que tiene Google. Si eso lo haces para operaciones bancarias, no sería problema del banco, sino de la operadora que no contrasta la identidad.

    1. Carlos González 02 Nov, 14 1:50 pm

      Estoy de acuerdo contigo. El resultado es que no da seguridad, a fin de cuentas.

  3. miguel019 02 Nov, 14 2:06 pm

    La seguridad de algunos operadores verdaderamente es nula.

    1. Anónimo
      Usuario no registrado
      02 Nov, 14 7:58 pm

      No es ninguna novedad, pasa siempre…

  4. Anónimo
    Usuario no registrado
    03 Nov, 14 8:45 am

    Pues entonces , que mande la nueva contraseña por correo certificado, tarda mas pero, como tienes que ir con el DNI, ha no ser que el hacker te halla clonado el DNI, en ese caso tenemos que irnos a la prueba del ADN,…a no se que el hacker…….esta claro que la que falla es la operadora, que hace lo que le viene en gana,….

  5. Anónimo
    Usuario no registrado
    03 Nov, 14 10:33 am

    El punto más débil de cualquier sistema de seguridad es el ser humano.
    En este caso la persona de la operadora que atendió la solicitud de reenvio de los SMS, sin una verificación adecuada de la identidad.

  6. Anónimo
    Usuario no registrado
    03 Nov, 14 11:50 am

    el problema esta en las empresas montan sus servicios y su seguridad sin tener en cuenta a las operadoras que son las que dan toda la infraestructura de comunicaciones y por tanto sobre las que se soporta al final todo el servicio

    lo que pasa es que facebook google apple o los bancos son bastante soberbias al respecto y consideran a las operadoras simpres “carriers” (asi es como se refiere apple siempre a las operadoras) como si no tuvieran al final un papel crucial en la seguridad

    pasa lo mismo con los bancos y los sms para operaciones con tarjeta que si que envian lo que les da la gana pero si el terminal esta infectado con un malware que intercepte esos mensajes el sistema se les viene abajo

    hace unos años en el enise de leon un cerebro del santander dijo que se estaban planteando usar whatsapp para la relacion con sus clientes ¡toma ya! aun no han hecho nada menos mal pero no me extrañaria que se les ocurriera hacerlo

  7. Anónimo
    Usuario no registrado
    03 Nov, 14 12:10 pm

    Resumiendo, que al final Apple tiene razón y el touchID es mejor que la mandanga de los sms XD