Hoy en día, es casi obligatorio activar la autenticación de dos factores (2FA) en todas sus cuentas de internet, ya sean de redes sociales o servicios que utiliza.
Ya explicamos todo lo que se necesita saber acerca de lo que es y cómo instalar aplicaciones confiables que administran esto:
Pero hay estafadores que están creando aplicaciones sospechosas que inducen al usuario a activar el 2FA en ellas, exponiendo así sus datos y cobrando por ello.
Y esta semana, Apple decidió limpiar su tienda de aplicaciones.
Aplicaciones no confiables
Ya dimos una lista de pocas y buenas aplicaciones para autenticación 2FA. Son las más confiables y no hay razón para intentar otras que aparezcan de repente.
La semana pasada, el nuevo Twitter anunció que comenzaría a cobrar a aquellos que autenticaran su cuenta por SMS.
Para aquellos menos familiarizados con la tecnología, esto sonó como algo malo, y con ello, hubo una explosión en la búsqueda de aplicaciones alternativas de autenticación, lo que terminó dando brecha para que los estafadores aprovecharan el momento.
Autenticación por SMS es insegura
Desde hace algún tiempo, ya es consenso que el uso de mensajes SMS como uno de los factores de autenticación es bastante inseguro. Esto se debe a que es posible robar el número y ponerlo en otro chip (el famoso SIM-swap), o permitir que quien robe el celular tenga acceso al código.
Por lo tanto, es una buena iniciativa de Twitter dificultar el uso de este método, dando espacio a aplicaciones de autenticación.
Sin embargo, esto generó una búsqueda frenética en la App Store por personas que nunca habían oído hablar de la autenticación de dos factores.
Pero esto generó una búsqueda frenética en la App Store por personas que nunca habían oído hablar de la autenticación de dos factores.
Y es ahí donde está el peligro.
Aplicaciones que roban 2FA
Un experto en seguridad comenzó a notar varias aplicaciones similares que alegaban ofrecer autenticación 2FA, desarrolladas por varios desarrolladores diferentes, pero que se mostraban idénticas cuando se abrían.
Todas estas aplicaciones autenticadoras son gratuitas y ofrecen compras dentro de la aplicación. Al instalarlas, descubrirá que no puede escanear ningún código QR hasta que se suscriba, pagando $40 al año, con 3 días de prueba gratuita. Las aplicaciones son muy similares.
El experto sospecha que estas son aplicaciones «white-labels» (es decir, desarrolladores compran el código base y lo personalizan con su propia marca), que muchos están utilizando solo para ganar dinero de usuarios desprevenidos.
El hecho de que una aplicación autenticadora cobre por su funcionamiento (mientras que Google ofrece una alternativa segura y completamente gratuita) ya es algo bastante cuestionable.
Y lo peor de todo es que estas aplicaciones envían el código QR de autenticación a un servidor remoto, lo que significa que este segundo factor de autenticación ya no es una protección efectiva, ya que está accesible a otras personas.
Apple hace la limpieza
Después de la repercusión del caso, Apple finalmente tomó una medida y el jueves por la mañana comenzó a limpiar varias de estas aplicaciones, retirándolas de la App Store.
Sin embargo, todavía hay muchas de estas aplicaciones fraudulentas en línea.
Aprenda a protegerse
Activar la autenticación de dos factores es muy importante, pero es crucial usar solo aplicaciones confiables para realizar esta autenticación.
Lea nuestro artículo completo sobre aplicaciones de autenticación de dos factores y consulte nuestra lista de aplicaciones confiables para garantizar la seguridad de sus cuentas.
