Bots de OTP: Qué son y cómo prevenir ataques

Con la creciente dependencia de los servicios en línea, la autenticación multifactor (MFA) se ha convertido en una línea crítica de defensa contra los ciberataques. Entre los elementos de MFA más utilizados se encuentra la contraseña de un solo uso (OTP), un código temporal y único destinado a proteger las cuentas contra el acceso no autorizado. Sin embargo, las OTP ya no son tan infalibles como solían parecer. Una nueva ola de actividad cibercriminal que involucra bots de OTP está desafiando su efectividad y representando una seria amenaza tanto para empresas como para individuos por igual.

Entender cómo funcionan los bots de OTP, sus métodos de ataque y estrategias para defenderse de ellos es esencial. Esta guía desglosará los mecanismos detrás de los bots de OTP y proporcionará pasos prácticos que su organización puede seguir para reforzar la seguridad.

¿Qué es una OTP?#

Una contraseña de un solo uso (OTP) es un código único y sensible al tiempo utilizado para autenticación de un solo uso. Generada a través de algoritmos basados en sincronización temporal o cálculos criptográficos, las OTPs proporcionan una capa adicional de seguridad para inicios de sesión o sistemas de autenticación multifactor (MFA).

Las OTPs pueden ser entregadas de varias maneras:

• Códigos SMS: Enviados vía mensaje de texto o de voz.
• Códigos de correo electrónico: Enviados directamente a la bandeja de entrada del usuario.
• Aplicaciones autenticadoras: Generadas localmente a través de servicios como Google Authenticator o Microsoft Authenticator.

Su naturaleza de corta duración mejora la seguridad, con códigos generados por aplicaciones que típicamente expiran en 30 a 60 segundos, mientras que los códigos SMS o de correo electrónico duran de 5 a 10 minutos. Esta funcionalidad dinámica hace que las OTPs sean mucho más seguras que las contraseñas estáticas.

Sin embargo, una vulnerabilidad clave reside en su entrega, ya que los atacantes pueden explotar debilidades del sistema o errores humanos para interceptarlas. A pesar de este riesgo, las OTPs siguen siendo una herramienta confiable y efectiva para reforzar la seguridad en línea.

¿Cuál es el papel de las OTP en la MFA?#

Entender la Autenticación Multifactor (MFA) es crucial en el panorama digital actual. La MFA fortalece la seguridad al requerir que los usuarios verifiquen su identidad a través de múltiples factores, añadiendo una capa extra de protección para prevenir el acceso no autorizado.

Un proceso típico de MFA involucra los siguientes pasos:

1. Identificador de usuario: Así es como el sistema reconoce a los usuarios. Podría ser un nombre de usuario, dirección de correo electrónico, número de teléfono, ID de usuario, ID de empleado, número de tarjeta bancaria o incluso una identidad social.
2. Primer factor de autenticación: Más comúnmente, es una contraseña, pero también puede ser un OTP de correo electrónico o SMS OTP.
3. Segundo factor de autenticación: Este paso utiliza un método diferente al primero, como OTPs de SMS, OTPs de aplicaciones autenticadoras, llaves de seguridad físicas o biometría como huellas dactilares y reconocimiento facial.
4. Capa opcional de tercera autenticación: En algunos casos, se agrega una capa adicional. Por ejemplo, iniciar sesión en una cuenta de Apple en un nuevo dispositivo puede requerir verificación extra.

Este proceso de múltiples capas mejora significativamente la seguridad, ya que los atacantes tendrían que eludir cada capa para obtener acceso a una cuenta.

La MFA típicamente se basa en tres categorías de factores de autenticación:

Mediante la combinación de estos métodos, la MFA crea una defensa sólida contra el acceso no autorizado. Garantiza que incluso si una capa está comprometida, la seguridad general de la cuenta permanezca intacta, proporcionando a los usuarios una protección mejorada en un mundo cada vez más conectado.

¿Qué son los bots de OTP?#

Los bots de OTP son herramientas automatizadas diseñadas específicamente para robar contraseñas de un solo uso (OTPs). A diferencia de los ataques de fuerza bruta, estos bots se basan en el engaño y la manipulación, explotando errores humanos, tácticas de ingeniería social o vulnerabilidades del sistema para eludir los protocolos de seguridad.

Tomando el proceso común de verificación de "Correo electrónico (como un identificador) + Contraseña (como el primer paso de verificación) + OTP de software/SMS (como el segundo paso de verificación)" como ejemplo, el ataque típicamente se desarrolla en los siguientes pasos:

1. El atacante accede a la página de inicio de sesión de la aplicación o API, como un usuario normal.
2. El atacante ingresa las credenciales fijas de la víctima, como su dirección de correo electrónico y contraseña. Estas credenciales a menudo se obtienen de bases de datos de información de usuarios filtrada fácilmente disponibles para su compra en línea. Muchos usuarios tienden a reutilizar contraseñas en diferentes plataformas, haciéndolos más vulnerables. Además, las técnicas de phishing se utilizan frecuentemente para engañar a los usuarios y hacerlos revelar sus detalles de cuenta.
3. Usando un bot de OTP, el atacante intercepta o recupera la contraseña de un solo uso de la víctima. Dentro del marco de tiempo válido, eludien el proceso de verificación en dos pasos.
4. Una vez que el atacante accede a la cuenta, puede proceder a transferir activos o información sensible. Para retrasar que la víctima descubra la violación, los atacantes a menudo toman medidas como eliminar alertas de notificación u otras señales de advertencia.

Ahora, exploremos en mayor detalle cómo se implementan los bots de OTP y los mecanismos que les permiten explotar estas vulnerabilidades.

¿Cómo funcionan los bots de OTP?#

A continuación se presentan algunas de las técnicas más comunes empleadas por los bots de OTP, detalladas junto a ejemplos del mundo real.

Bots de phishing#

El phishing es uno de los métodos más comunes utilizados por los bots de OTP. Así es como funciona:

1. El anzuelo (mensaje fraudulento): La víctima recibe un correo electrónico falso o un mensaje de texto haciéndose pasar por una fuente confiable, como su banco, plataforma de redes sociales o un servicio en línea popular. El mensaje usualmente afirma que hay un problema urgente, como un intento de inicio de sesión sospechoso, un problema de pago o suspensión de cuenta, presionando a la víctima para que actúe de inmediato.

2. La página de inicio de sesión falsa: El mensaje incluye un enlace que dirige a la víctima a una página de inicio de sesión falsa diseñada para parecerse exactamente al sitio web oficial. Esta página está configurada por los atacantes para capturar las credenciales de inicio de sesión de la víctima.

3. Credenciales robadas y MFA accionada: Cuando la víctima ingresa su nombre de usuario y contraseña en la página falsa, el bot de phishing utiliza rápidamente estas credenciales robadas para iniciar sesión en el servicio real. Este intento de inicio de sesión luego activa una solicitud de autenticación multifactor (MFA), como una contraseña de un solo uso (OTP) enviada al teléfono de la víctima.

4. Engañando a la víctima para obtener la OTP: El bot de phishing engaña a la víctima para que proporcione la OTP mostrando un mensaje en la página falsa (por ejemplo, "Por favor, ingrese el código enviado a su teléfono para verificación"). Pensando que es un proceso legítimo, la víctima ingresa la OTP, sin saber que le está dando al atacante todo lo que necesita para completar el inicio de sesión en el servicio real.

Por ejemplo, en el Reino Unido, herramientas como "SMS Bandits" han sido utilizadas para realizar ataques de phishing sofisticados a través de mensajes de texto. Estos mensajes imitan comunicaciones oficiales, engañando a las víctimas para que revelen sus credenciales de cuenta. Una vez que las credenciales están comprometidas, SMS Bandits permite a los criminales eludir la autenticación multifactor (MFA) al iniciar el robo de OTPs. Alarmantemente, estos bots logran una tasa de éxito de aproximadamente un 80% una vez que el número de teléfono del objetivo es ingresado, destacando la peligrosa efectividad de tales esquemas de phishing. Aprenda más

Bots de malware#

Los bots de OTP basados en malware son una amenaza seria, dirigidos directamente a dispositivos para interceptar OTPs basadas en SMS. Así es como funciona:

1. Víctimas descargan aplicaciones maliciosas sin saberlo: Los atacantes crean aplicaciones que parecen ser software legítimo, como herramientas bancarias o de productividad. Las víctimas a menudo instalan estas aplicaciones falsas a través de anuncios engañosos, tiendas de aplicaciones no oficiales o enlaces de phishing enviados por correo electrónico o SMS.
2. El malware obtiene acceso a permisos sensibles: Una vez instalada, la aplicación solicita permisos para acceder a SMS, notificaciones u otros datos sensibles en el dispositivo de la víctima. Muchos usuarios, desconocedores del riesgo, otorgan estos permisos sin darse cuenta de la verdadera intención de la aplicación.
3. El malware monitorea y roba OTPs: El malware corre silenciosamente en segundo plano, monitoreando mensajes SMS entrantes. Cuando una OTP es recibida, el malware la reenvía automáticamente a los atacantes, dando a los atacantes la capacidad de eludir la autenticación de dos factores.

Un informe reveló una campaña que utiliza aplicaciones maliciosas de Android para robar mensajes SMS, incluidas OTPs, afectando a 113 países, con India y Rusia golpeados con más fuerza. Se encontraron más de 107,000 muestras de malware. Los teléfonos infectados pueden ser usados sin saberlo para registrarse en cuentas y recolectar OTPs de 2FA, presentando serios riesgos de seguridad. Aprenda más

Intercambio de SIM#

A través del intercambio de SIM, un atacante toma control del número de teléfono de una víctima engañando a los proveedores de telecomunicaciones. Cómo funciona:

1. Suplantación de identidad:  El atacante recopila información personal sobre la víctima (como nombre, fecha de nacimiento o detalles de cuenta) a través de phishing, ingeniería social o violaciones de datos.
2. Contactando al Proveedor:  Usando esta información, el atacante llama al proveedor de telecomunicaciones de la víctima, haciéndose pasar por la víctima, y solicita un reemplazo de tarjeta SIM.
3. Aprobación de Transferencia:  El proveedor es engañado para transferir el número de la víctima a una nueva tarjeta SIM controlada por el atacante.
4. Intercepción:  Una vez que se completa la transferencia, el atacante obtiene acceso a llamadas, mensajes y contraseñas de un solo uso (OTPs) basadas en SMS, permitiéndoles eludir medidas de seguridad para cuentas bancarias, correo electrónico y otros servicios sensibles.

Los ataques de intercambio de SIM están en aumento, causando daños financieros significativos. Solo en 2023, el FBI investigó 1,075 incidentes de intercambio de SIM, resultando en pérdidas de $48 millones. Aprenda más

Bots de llamadas de voz#

Los bots de voz utilizan técnicas avanzadas de ingeniería social para engañar a las víctimas y hacerles revelar sus OTPs (contraseñas de un solo uso). Estos bots están equipados con scripts predefinidos y opciones de voz personalizables, permitiéndoles hacerse pasar por centros de llamadas legítimos. Al hacerse pasar por entidades de confianza, manipulan a las víctimas para que revelen códigos sensibles por teléfono. Cómo funciona:

1. El bot realiza la llamada: El bot contacta a la víctima, haciéndose pasar por su banco o proveedor de servicios. Informa a la víctima de "actividad sospechosa" detectada en su cuenta para crear urgencia y miedo.
2. Solicitud de verificación de identidad: El bot le pide a la víctima que "verifique su identidad" para asegurar su cuenta. Esto se hace solicitando a la víctima que ingrese su OTP (enviada por el proveedor de servicios real) por teléfono.
3. Inmediata violación de cuenta: Una vez que la víctima proporciona la OTP, el atacante la utiliza en cuestión de segundos para acceder a la cuenta de la víctima, a menudo robando dinero o datos sensibles.

La plataforma Telegram es utilizada frecuentemente por los cibercriminales, ya sea para crear y gestionar bots o para funcionar como un canal de soporte al cliente para sus operaciones. Un ejemplo de ello es BloodOTPbot, un bot basado en SMS capaz de generar llamadas automáticas que imitan al soporte al cliente de un banco.

Ataques SS7#

SS7 (Sistema de Señalización 7) es un protocolo de telecomunicaciones crucial para enrutar llamadas, SMS y roaming. Sin embargo, tiene vulnerabilidades que los hackers pueden explotar para interceptar SMS, incluidas las contraseñas de un solo uso (OTPs), y eludir la autenticación de dos factores (2FA). Estos ataques, aunque complejos, han sido utilizados en grandes cibercrímenes para robar datos y dinero. Esto destaca la necesidad de reemplazar las OTPs basadas en SMS con opciones más seguras, como autenticadores basados en aplicaciones o tokens de hardware.

¿Cómo detener los ataques de bots de OTP?#

Los ataques de bots de OTP están volviéndose cada vez más efectivos y extendidos. El creciente valor de las cuentas en línea, incluidas las cuentas financieras, billeteras de criptomonedas y perfiles de redes sociales, las hace objetivos lucrativos para los cibercriminales. Además, la automatización de los ataques a través de herramientas como bots basados en Telegram ha hecho que estas amenazas sean más accesibles, incluso para hackers aficionados. Finalmente, muchos usuarios confían ciegamente en los sistemas de MFA, a menudo subestimando lo fácilmente que las OTPs pueden ser explotadas.

Por lo tanto, proteger su organización de bots de OTP requiere fortalecer su seguridad en varias áreas clave.

Fortalecer la seguridad de la autenticación primaria#

Obtener acceso a una cuenta de usuario requiere superar múltiples capas de protección, lo que hace que la primera capa de autenticación sea crítica. Como se mencionó anteriormente, las contraseñas por sí solas son muy vulnerables a los ataques de bots de OTP.

• Aprovechar el inicio de sesión social o SSO empresarial: Utilice proveedores de identidad de terceros seguros (IdPs) para la autenticación primaria, tales como Google, Microsoft, Apple para el inicio de sesión social, o Okta, Google Workspace, y Microsoft Entra ID para SSO. Estos métodos sin contraseña ofrecen una alternativa más segura a las contraseñas que los atacantes pueden explotar fácilmente.
• Implementar CAPTCHA y herramientas de detección de bots: Proteja su sistema implementando soluciones de detección de bots para bloquear intentos de acceso automatizado.
• Fortalecer la gestión de contraseñas: Si las contraseñas siguen en uso, hacer cumplir políticas de contraseña más estrictas, animar a los usuarios a adoptar gestores de contraseñas (por ejemplo, Google Password Manager o iCloud Passwords), y requerir actualizaciones periódicas de contraseñas para una mayor seguridad.

Aplicar una autentificación multifactor más inteligente#

Cuando se viola la primera línea de defensa, la segunda capa de verificación se vuelve crítica.

• Cambiar a autenticación basada en hardware: Reemplace las OTPs de SMS con llaves de seguridad (como YubiKey) o passkeys siguiendo el estándar FIDO2. Estos requieren posesión física, lo que los hace resistentes a phishing, intercambio de SIM y ataques de intermediarios, ofreciendo una capa de seguridad mucho más fuerte.
• Implementar MFA adaptativa: La MFA adaptativa analiza continuamente factores contextuales como la ubicación del usuario, dispositivo, comportamiento de red y patrones de inicio de sesión. Por ejemplo, si se realiza un intento de inicio de sesión desde un dispositivo no reconocido o una ubicación geográfica inusual, el sistema puede solicitar pasos adicionales automáticamente, como responder una pregunta de seguridad o verificar la identidad a través de autenticación biométrica.

Educación del usuario#

Los humanos siguen siendo el eslabón más débil, por lo que es fundamental priorizar la educación.

• Use marcas y URLs claras para minimizar los riesgos de phishing.
• Capacite a los usuarios y empleados para reconocer intentos de phishing y aplicaciones maliciosas. Recordar regularmente a los usuarios evitar compartir OTPs en llamadas de voz o páginas de phishing, sin importar cuán convincentes parezcan.
• Cuando se detecte actividad anormal en la cuenta, notifique con prontitud a los administradores o termine programáticamente la operación. Los registros de auditoría y webhooks pueden ayudar a que este proceso funcione.

Repensar la autenticación con herramientas dedicadas#

Implementar un sistema de gestión de identidad interno es costoso y requiere muchos recursos. En su lugar, las empresas pueden proteger las cuentas de usuario más eficientemente asociándose con servicios de autenticación profesionales.

Soluciones como Logto ofrecen una poderosa combinación de flexibilidad y seguridad robusta. Con características adaptativas y opciones fáciles de integrar, Logto ayuda a las organizaciones a mantenerse a la vanguardia de las amenazas de seguridad en evolución como los bots de OTP. También es una opción rentable para escalar la seguridad a medida que su negocio crece.

Descubra toda la gama de capacidades de Logto, incluyendo Logto Cloud y Logto OSS, visitando el sitio web de Logto: