¿Qué son los robots OTP?

Las contraseñas de un solo uso (OTP) pueden no ser tan seguras como parecen, ya que el aumento de los bots OTP arroja una sombra oscura sobre lo que debería ser una característica de seguridad importante. Dado lo comunes que son, la creciente prevalencia de bots OTP dirigidos a estos sistemas es aún más preocupante. Aquí encontrará todo lo que necesita saber sobre ellos para mantenerse a salvo de esta amenaza.

¿Qué son las contraseñas de un solo uso?

Para comprender los bots OTP, primero debe comprender las propias OTP. Como sugiere el nombre, una contraseña de un solo uso es un código de inicio de sesión temporal que obtiene después de ingresar otras credenciales como su dirección de correo electrónico y contraseña. Por lo general, duran entre 30 y 60 segundos antes de que ya no permitan el acceso a una cuenta.

La idea aquí es detener a las personas que podrían haber robado, adivinado o forzado su contraseña. Al enviar un código de un solo uso mediante llamada, mensaje de texto o aplicación móvil dedicada, el servicio garantiza que la persona que inicia sesión también tenga acceso a un dispositivo confiable. Robar una contraseña es relativamente fácil, pero no es probable que un delincuente tenga tu contraseña y tu teléfono.

¿Cómo funcionan los robots OTP?

Las OTP se han vuelto tan comunes que algunos teléfonos ahora elimina automáticamente estos códigos de verificación borrar la bandeja de entrada. Si bien eso debería significar que sus cuentas en línea son más seguras que nunca, ha convertido a los propios sistemas OTP en un objetivo para los ciberdelincuentes. Los robots OTP apuntan a estos sistemas de dos maneras.

La primera y más común forma en que funcionan los robots OTP es engañando a los usuarios para que revelen sus códigos únicos. Para ello, a menudo se hacen pasar por el servicio al que intentan iniciar sesión. Imagine que un ciberdelincuente intenta iniciar sesión en su cuenta bancaria en línea. Cuando ingresan sus credenciales, un bot le enviará un mensaje de texto, un correo electrónico o una llamada, haciéndose pasar por el banco y solicitando su código.

Debido a que los bots actúan inmediatamente, esa solicitud debe llegar al mismo tiempo que el mensaje que contiene su código, por lo que puede que no parezca sospechoso. Luego puede responder con la OTP y enviarla accidentalmente al hacker, quien luego puede usarla para acceder a su cuenta.

La otra forma en que funcionan los robots OTP es interceptando el mensaje OTP antes de que llegue a usted. Cuando tiene éxito, es menos probable que este método genere alarmas, pero es más difícil de llevar a cabo. Hay una razón por la cual Informe anual de investigación de vulneración de datos de Verizon descubrió que la mayoría de los ataques involucran un elemento humano: las personas suelen ser el eslabón más débil.

Cómo defenderse de los robots OTP

Los ataques de bots OTP son alarmantes, pero puedes detenerlos. Recuerde siempre verificar antes de confiar en algo y opte por no responder a solicitudes no solicitadas.

En este contexto, eso significa consultar con su banco u otro servicio para ver si alguna vez se comunican con las OTP sin que usted haga nada. La mayoría no lo hace, por lo que generalmente es mejor no responder a una solicitud de OTP si no intentaste iniciar sesión en nada.

Si está disponible, debería habilitar funciones MFA resistentes al phishing, aunque todavía no son comunes. La MFA resistente al phishing elimina el elemento humano de la ecuación y, en su lugar, utiliza criptografía y autenticación de dispositivos para verificar los intentos de inicio de sesión. De esa manera, sabrá que cualquier solicitud de OTP es una estafa, ya que el servicio real no las utilizará.

Incluso cuando ese tipo de MFA no esté disponible, es posible que pueda activar factores de identificación distintos de las OTP. La biometría como el reconocimiento facial o el escaneo de huellas dactilares son una gran opción. Si bien es posible omitir la autenticación biométrica, es muy técnico y no tan común como los ataques centrados en contraseñas, por lo que estos factores siguen siendo más seguros que las OTP.

Por último, esté siempre atento a actividades sospechosas. Si recibe un aviso de un intento de inicio de sesión que no recuerda o sabe que no fue usted, comuníquese con el servicio en cuestión de inmediato. De manera similar, cambie sus contraseñas y comuníquese con la empresa si nota actividad en alguna cuenta que no recuerda. Actuar rápido es la clave para detener los ataques antes de que causen mucho daño.

La conciencia es el primer paso hacia la seguridad

Aprender sobre los bots OTP es el primer paso para protegerse contra ellos. Cuando sepa a qué prestar atención, comprenderá cómo mantenerse a salvo.

Recuerde que ningún sistema de seguridad es 100 por ciento confiable. Las OTP y otros métodos MFA son una parte crucial de una buena ciberseguridad, pero no son perfectos. En consecuencia, siempre debes abordar las cosas con precaución y estar atento a actividades sospechosas.