En los últimos años, nos hemos acostumbrado a iniciar sesión en sitios web y aplicaciones importantes, como los de banca en línea, utilizando tanto una contraseña como otro método de verificación.
Esto podría ser una contraseña de un solo uso (OTP) enviada a través de un mensaje de texto, un correo electrónico o una notificación automática; un código de una aplicación de autenticación; o, incluso, un dispositivo USB especial (“token”). Este método de inicio de sesión se denomina autenticación de dos factores (2FA) y hace que la piratería sea mucho más difícil: robar o adivinar una contraseña por sí solo ya no es suficiente para piratear una cuenta.
Pero ¿qué debes hacer si no has intentado iniciar sesión en ningún lugar y, de repente, recibes un código único o una solicitud para introducirlo?
Hay tres razones por las que puede ocurrir esta situación:
- Un intento de piratería. Los piratas informáticos de alguna manera han aprendido, adivinado o robado tu contraseña, y ahora están tratando de usarla para acceder a tu cuenta. Recibiste un mensaje legítimo del servicio al que están intentando acceder.
- La preparación para un pirateo. Los ciberdelincuentes conocen tu contraseña o están tratando de engañarte para que la reveles. En este caso, el mensaje de OTP es una forma de phishing. El mensaje es falso, aunque puede parecer muy similar a uno genuino.
- Solo un error. A veces, los servicios en línea se configuran para solicitar primero un código de confirmación de un mensaje de texto y luego una contraseña, o para autenticarse con un solo código. En este caso, otro usuario podría haber cometido un error de escritura e introducir tu teléfono o correo electrónico en lugar del de ellos, y por eso estás recibiendo el código.
Como puedes ver, puede haber una intención maliciosa detrás de este mensaje. Pero la buena noticia es que, en esta etapa, no ha habido daños irreparables y, al tomar la acción correcta, puedes evitar cualquier problema.
Qué hacer cuando recibes una solicitud de código
Lo más importante es que no hagas clic en el botón de confirmación si el mensaje es un formulario de “Sí/No”, no inicies sesión en ningún lugar y no compartas los códigos recibidos con nadie.
Si el mensaje de solicitud de código contiene enlaces, no hagas clic en ellos.
Estas son las reglas más esenciales a seguir. Mientras no confirmes tu inicio de sesión, tu cuenta está segura. Sin embargo, es muy probable que los atacantes conozcan la contraseña de tu cuenta.
Por lo tanto, lo siguiente que debes hacer es cambiar la contraseña de esta cuenta. Dirígete al servicio correspondiente escribiendo la dirección web manualmente, no siguiendo un enlace. Introduce tu contraseña, obtén un nuevo código de confirmación (¡esto es importante!) e introdúcelo. Luego, busca la configuración de la contraseña y establece una nueva contraseña segura.
Si usas la misma contraseña para otras cuentas, también deberás cambiar la contraseña para ellas, pero asegúrate de crear una contraseña única para cada cuenta. Entendemos que es difícil recordar tantas contraseñas, por lo que recomendamos almacenarlas en un administrador de contraseñas.
Esta etapa, cambiar tus contraseñas, no es tan urgente. No es necesario hacerlo apresuradamente, pero tampoco posponerlo.
Para cuentas valiosas (como las bancarias), los atacantes pueden intentar interceptar la OTP si se envía por mensaje de texto. Esto se hace mediante el intercambio de SIM (registrando una nueva tarjeta SIM en tu número) o lanzando un ataque a través de la red de servicio del operador utilizando un fallo en el protocolo de comunicaciones SS7. Por lo tanto, es importante cambiar la contraseña antes de que los delincuentes intenten ese ataque.
En general, los códigos de un solo uso enviados por mensaje de texto son menos confiables que las aplicaciones de autenticación y los tokens USB. Recomendamos utilizar siempre el método 2FA más seguro disponible. Aquí puedes encontrar una revisión de los diferentes métodos de autenticación de dos factores.
Qué hacer si recibes muchas solicitudes de OTP
En un intento de hacer que confirmes un inicio de sesión, los piratas informáticos pueden bombardearte con códigos. Intentan iniciar sesión en la cuenta una y otra vez, con la esperanza de que cometas un error y hagas clic en “Confirmar”, o vayas al servicio y desactives el 2FA para que no te moleste. Es importante mantener la calma y no hacer ninguna de las dos cosas.
Lo mejor que puedes hacer es ir al sitio del servicio como se describe anteriormente (abrir el sitio manualmente, no a través de un enlace) y cambiar rápidamente la contraseña; pero, para esto, deberás recibir e introducir tu propia OTP legítima.
Algunas solicitudes de autenticación (por ejemplo, las advertencias sobre el inicio de sesión en los servicios de Google) tienen un botón “No, no soy yo” separado. Por lo general, este botón hace que los sistemas automatizados del lado del servicio bloqueen automáticamente al atacante y cualquier nueva solicitud de 2FA.
Otra opción, aunque no la más conveniente, sería cambiar el teléfono al modo silencioso o incluso modo avión durante media hora más o menos hasta que la ola de códigos disminuya.
Qué hacer si confirmas accidentalmente el inicio de sesión de un extraño
Este es el peor de los casos, ya que probablemente hayas permitido que un atacante entre en tu cuenta. Los atacantes actúan rápidamente para cambiar la configuración y las contraseñas, por lo que tendrás que ponerte al día y lidiar con las consecuencias del pirateo. Aquí puedes encontrar consejos para este escenario.
¿Cómo protegerte?
El mejor método de defensa en este caso es ir un paso por delante de los delincuentes: si vis pacem, para bellum. Aquí es donde nuestra solución de seguridad es muy útil. Realiza un seguimiento de las filtraciones de tus cuentas vinculadas tanto a direcciones de correo electrónico como a números de teléfono, incluso en la dark web. Puedes añadir los números de teléfono y las direcciones de correo electrónico de todos los miembros de tu familia, y, si algún dato de la cuenta se hace público o se descubre en bases de datos filtradas, Kaspersky Premium te avisará y te dará consejos sobre qué hacer.
Incluido en la suscripción, Kaspersky Password Manager te advertirá sobre las contraseñas vulneradas y te ayudará a cambiarlas, generando nuevas contraseñas que no se pueden descifrar. También puedes añadirle tokens de autenticación de dos factores o transferirlos fácilmente desde Google Authenticator con unos pocos clics. El almacenamiento seguro de tus documentos personales protegerá tus documentos y archivos más importantes, como los escaneos de pasaportes o las fotos personales, de forma cifrada para que solo tú puedas acceder a ellos.
Además, tus nombres de usuario, contraseñas, códigos de autenticación y documentos guardados estarán disponibles desde cualquiera de tus dispositivos (ordenador, teléfono inteligente o tablet) por lo que, incluso si pierdes tu teléfono de alguna manera, no perderás tus datos y podrás restaurarlos fácilmente en un nuevo dispositivo. Y, para acceder a todos tus datos, solo necesitas recordar una contraseña, la principal, que no se almacena en ningún lugar excepto en tu cabeza y se utiliza para el cifrado de datos AES de estándar bancario.
Con el “principio de divulgación cero”, nadie puede acceder a tus contraseñas o datos, ni siquiera los empleados de Kaspersky. La fiabilidad y la eficacia de nuestras soluciones de seguridad han sido confirmadas por numerosas pruebas independientes, siendo un ejemplo reciente nuestras soluciones de protección del hogar que han recibido el máximo premio al Producto del año de 2023 en las pruebas realizadas por el laboratorio europeo independiente AV-Comparatives.