Conclusiones clave
- Los códigos de autenticación están siendo pirateados por robots de voz que llaman y solicitan su información.
- Los piratas informáticos pueden usar los códigos para entrar en cuentas que van desde Apple hasta Amazon.
- No envíe información personal por mensaje de texto y cuelgue cualquier llamada que insista en que la entregue, dicen los expertos.
Quizás quieras tener más cuidado con quién hablas por teléfono.
Los piratas informáticos utilizan sofisticados robots de voz para robar contraseñas. Los atacantes apuntan cada vez más a los códigos de autenticación de dos factores (también conocidos como 2FA) que se utilizan para asegurar todo, desde las cuentas de Apple hasta las de Amazon.
"Los bots de voz son tan buenos que los usuarios pueden creer fácilmente que son auténticos, especialmente cuando parece ayudar a detener la actividad maliciosa, como una compra sospechosa", dijo Joseph Carson de la firma de seguridad cibernética ThycoticCentrify, a Lifewire en un entrevista por correo electrónico. "Desafortunadamente, en realidad, los piratas informáticos están robando su dinero".
Bots conversadores
Los piratas informáticos usan bots personalizados para realizar llamadas automáticas que solicitan su contraseña temporal, dijo a Lifewire Jonathan Tian, cofundador de Mobitrix Perfix, una solución para iPhone. Algunos bots te hacen pensar que estás hablando con un representante de atención al cliente real antes de pedirte tu código. El problema se destacó recientemente en Motherboard.
"El pirata informático puede conectarse fácilmente a su cuenta y realizar transacciones o lo que quiera una vez que envíe el código de verificación", agregó Tian.
Un atacante que usa un bot puede obtener una lista de cuentas comprometidas que contiene correos electrónicos, nombres y números de teléfono, dijo a Lifewire el experto en seguridad cibernética Steve Tcherchian. Luego, el pirata informático puede intentar iniciar sesión en servicios como Amazon o Google. Al hacer clic en el enlace 'restablecer contraseña', se enviará un mensaje de texto al propietario desprevenido.
"El atacante luego llama al propietario usando un bot para decirle que su cuenta ha sido comprometida y para ingresar el código enviado a su teléfono para validar la propiedad de su cuenta", agregó. "Cuando el propietario ingresa el código, el ladrón ahora tiene el segundo factor f altante para comprometer la cuenta del usuario".
Los expertos dicen que los bots de voz de los hackers son un problema creciente.
"Hay muchos más bots de voz en el mercado ahora que hace diez meses, aunque siguen siendo una inversión costosa", dijo a Lifewire la experta en privacidad Hannah Hart.
Los bots pueden imitar todo tipo de servicios para los piratas informáticos que pagan el precio, lo que significa que existe la posibilidad de que se contacte a una amplia franja de clientes y se los engañe para que entreguen un código 2FA u OTP (contraseña de un solo uso), Hart dijo.
Hay muchos más robots de voz en el mercado ahora que hace diez meses.
Debido a que los bots de voz no requieren que los piratas informáticos sean excepcionalmente hábiles en el uso de técnicas de ingeniería social, cualquiera podría usar uno, "por lo que es probable que veamos piratas informáticos imitadores que quieran probar suerte", Hart añadido.
El fraude y los ataques cibernéticos de todo tipo han aumentado rápidamente en los últimos años, dijo a Lifewire Bob Lyle, vicepresidente senior de la firma de seguridad cibernética SpyCloud. Y el uso de credenciales robadas por parte de los delincuentes se ha vuelto cada vez más sofisticado.
"Un gran desafío es la f alta de comprensión de la amenaza", dijo. "Debido a la proliferación de estafas de telemercadeo y llamadas automáticas, muchos consumidores asumen que su número de teléfono ya se ha visto comprometido sin darse cuenta de cómo podría usarse para acceder a sus cuentas".
Protegerse
Hay formas de evitar que los robots de voz roben sus preciados códigos de seguridad.
Nunca ingrese su código 2FA a menos que haya iniciado la solicitud, dijo Carson. También sugiere que siempre sospeches de cualquier solicitud que te pida tu código 2FA que no esperabas.
"Asegúrese de cambiar periódicamente sus contraseñas y use un administrador de contraseñas para ayudarlo a crear contraseñas únicas, largas y seguras para cada cuenta", agregó.
No envíes información personal por mensaje de texto y cuelga cualquier llamada que insista en que la entregues, dijo Hart. En su lugar, consulte el servicio directamente para controlar la actividad de su cuenta e informe cualquier sospecha o inquietud al equipo de atención al cliente.
"También vale la pena correr la voz entre amigos y familiares sobre estos desagradables intentos de piratería", agregó Hart. "Después de todo, todos podríamos encontrarnos en la mira de un posible estafador, y no siempre es fácil determinar si un sistema automatizado es legítimo o no."
