En un esfuerzo por facilitar el acceso y mejorar la experiencia del usuario, muchas plataformas digitales han comenzado a reemplazar las contraseñas tradicionales con un sistema de inicio de sesión basado en códigos de un solo uso enviados por correo electrónico o SMS.

Aunque esta práctica pueda parecer moderna, eficiente y segura, en realidad representa una seria amenaza para la seguridad de las cuentas online. Y lo que es más preocupante: esta amenaza ya está causando estragos en comunidades enteras de usuarios, especialmente los de Minecraft y otros juegos online.

¿Cómo funciona este método de acceso?

El método de inicio de sesión basado en códigos de un solo uso (One-Time Passcode, OTP) ha ganado popularidad como alternativa a las contraseñas tradicionales. La propuesta es sencilla y tiene un aire de modernidad y conveniencia:

1. El usuario accede a la página de inicio de sesión de un servicio.
2. Introduce únicamente su dirección de correo electrónico o número de teléfono.
3. El sistema le envía un código temporal (por ejemplo, de 6 dígitos) a través de correo electrónico o mensaje SMS.
4. El usuario introduce el código en la web y accede directamente a su cuenta.

Este enfoque se conoce como autenticación passwordless (sin contraseña), y se nos vende como un avance en términos de comodidad para el usuario. Además, grandes empresas tecnológicas como Microsoft, Google e incluso plataformas bancarias ya han comenzado a implementarlo en algunos de sus servicios.

El principal atractivo de este método radica en su aparente sencillez y que ofrece la opción de suprimir el estrés de recordar largas y complejas contraseñas. También es cierto que cierra las puertas a ciertos vectores de ataque tradicionales como los ataques de fuerza bruta o el relleno de credenciales (credential stuffing), ya que no se almacena una contraseña estática en los servidores que pueda ser reutilizada o robada.

Desde el punto de vista técnico, este modelo también se apoya en mecanismos que aseguran que el código enviado solo pueda usarse una vez y que tenga una validez temporal limitada (usualmente unos minutos), y esto genera una sensación de seguridad adicional.

En Genbeta

He dejado de usar contraseñas en todas mis cuentas de Google, Microsoft y Apple. Y me he quitado un peso de encima

Sin embargo, esta ilusión de seguridad se desmorona rápidamente en la práctica, especialmente cuando:

• El servicio no verifica adecuadamente la identidad de quien solicita el código.
• El usuario desconoce qué implica compartir un código OTP.
• El entorno donde se introduce el código no es el sitio original (como Discord u otras plataformas ajenas al proveedor del servicio).

Y es aquí donde este método, diseñado para simplificar, se convierte en el talón de Aquiles de miles de cuentas digitales, especialmente cuando se mezcla con ingeniería social y plataformas con fuerte presencia juvenil, como Minecraft o Discord.

¿Cuál es el problema con este método?

Lo cierto es que este método facilita enormemente los ataques de suplantación de identidad (phishing). ¿Por qué?

En primer lugar, porque cualquiera puede iniciar el proceso de verificación con tu correo: un atacante solo necesita conocer tu dirección de correo electrónico (algo que suele ser público o fácil de adivinar).

Luego, accede a la página oficial de inicio de sesión del servicio —por ejemplo, Microsoft— y solicita un código de acceso de un solo uso. Este código legítimo será enviado a tu bandeja de entrada, como si tú hubieras iniciado el proceso de inicio de sesión.

Tú no entiendes por qué te ha llegado este e-mail o SMS (un problema agravado por el hecho de que los correos electrónicos que contienen los códigos no indican claramente su propósito)... pero, entonces, el atacante contacta contigo, normalmente a través de Discord, y te pide ese código, haciéndose pasar por un bot de verificación o un administrador de servidor.

Si caes en la trampa y le das ese código, le estarás entregando acceso completo a tu cuenta, sin que él haya necesitado conocer tu contraseña. Como el código es real y el sitio de origen también, resulta muy difícil detectar la estafa antes de que sea demasiado tarde.

Además, con este sistema, los gestores de contraseñas no pueden protegerte: en los ataques tradicionales, los gestores detectan URLs maliciosas o autocompletan contraseñas sólo en sitios legítimos. En este nuevo modelo, como el usuario nunca escribe una contraseña y el sistema legítimo es el que emite el código, no hay manera de saber si el código está siendo usado correctamente.

Casos reales

Esta vulnerabilidad no es una mera posibilidad teórica. Ya existen varios ejemplos documentados de los que empiezan a hacerse eco las comunidades online (desde los foros de Microsoft a YouTube).

En Genbeta

Cómo saber si me han hackeado la cuenta de Instagram y qué hacer para recuperarla

Una de las tácticas más comunes descritas en varios foros como Reddit consiste en invitar a jugadores a un servidor de Discord que parece legítimo, con bots y verificación. Se les pide introducir su correo de Microsoft y luego el código de 6 dígitos que recibirán en su correo. Muchos creen que están verificando su cuenta para acceder al servidor, pero en realidad están entregando el código de acceso a su cuenta de Microsoft a los estafadores.

Resultado: el atacante cambia la dirección de correo de la cuenta, borra o reemplaza la información que podría usarse para recuperarla en caso de pérdida de acceso (número de teléfono asociado, preguntas de seguridad), y el propietario legítimo pierde el acceso permanentemente.

Además, según el testimonio de un youtuber, los atacantes utilizan Webhooks de Discord para automatizar el robo de cuentas una vez obtienen el código. Así, los datos de la víctima son reemplazados por los del estafador en cuestión de minutos.

¿Por qué no se habla más de esta estafa?

Una de las razones es que los actores maliciosos utilizan canales y sistemas legítimos. El correo de Microsoft que contiene el código, por ejemplo, parece auténtico... porque lo es: el código no viene de un sitio falso. La manipulación ocurre cuando la víctima, por ingenuidad o falta de información, entrega ese código al estafador.

Además, muchos afectados son menores de edad o usuarios menos familiarizados con prácticas seguras en Internet. Esto los convierte en blancos fáciles y en víctimas silenciosas.

¿Cómo prevenir estos ataques?

1. Nunca entregues códigos de verificación a terceros. Ningún servidor de Discord o sitio debería pedirte un código enviado a tu correo personal. Si alguien te lo solicita, es una estafa.
2. Educa a otros usuarios, especialmente jóvenes. Muchos de los afectados son adolescentes. Compartir esta información puede evitar que más personas caigan.
3. Verifica siempre el propósito de los códigos que recibes. Si recibes un código inesperado de Microsoft, ignóralo. Y si tú mismo lo has solicitado, asegúrate de ingresarlo solo en el sitio original, no en Discord o servicios externos.
4. Usa contraseñas seguras y sistemas de autenticación multifactor reales. Aunque parezca contradictorio, volver a usar contraseñas fuertes y seguras es, hoy por hoy, más seguro que depender exclusivamente de códigos de un solo uso sin contraseña.

Vía | Daniel Huang

Imagen | Marcos Merino mediante IA

En Genbeta | Me lío tanto con las contraseñas de mis servicios y apps que he encontrado mi aliado perfecto: regenerarlas continuamente

Hace unos años, se puso de moda que algunas grandes plataformas (fundamentalmente, Google y Facebook) ofrecieran a otras más pequeñas la posibilidad de que los usuarios de éstas se registrasen haciendo uso de las cuentas que ya habían creado en las primeras, facilitando así las cosas a ambas partes.

Ahora, al registrarnos en sitios web o aplicaciones, damos permiso para que terceros accedan a los datos nuestra cuenta de Google, sin darnos cuenta de que esto puede poner en riesgo nuestra privacidad...

...y de que, si alguna vez nuestra cuenta de Google cae en malas manos, esto permitirá a nuestro atacante hacerse, de una tacada, con el acceso a docenas o cientos de otras webs que también albergan datos nuestros.

De modo que, si te preocupa la seguridad de tu cuenta de Gmail y deseas desligar tu dirección GMail de los numerosos sitios web en los que te has podido ir registrando a lo largo de los años (pero que ya no deseas vincular a tu cuenta Google), aquí te ofrecemos una guía paso a paso para lograrlo.

Paso 1: Accede a tu cuenta de Google

Lo primero que debes hacer es iniciar sesión en tu cuenta de Gmail desde un navegador web. Una vez dentro, dirígete a la esquina superior derecha, donde verás tu foto de perfil o iniciales. Haz clic en este icono para desplegar un menú, y selecciona la opción que dice "Gestionar tu cuenta de Google".

En Genbeta

Hace meses activé esta función de seguridad gratis en mi cuenta de Google y desde entonces me resulta más fácil evitar estafas

Paso 2: Navega a la sección de seguridad

Dentro de la interfaz de gestión de tu cuenta de Google, verás varias pestañas en el menú lateral izquierdo. Haz clic en "Seguridad", que se encuentra entre las principales opciones. Esta sección es clave, ya que desde aquí podrás controlar quién tiene acceso a tu cuenta y qué permisos has otorgado.

Paso 3: Encuentra las aplicaciones con acceso a tu cuenta

Desplázate hacia abajo hasta encontrar la opción "Tus conexiones con aplicaciones y servicios de terceros". Este apartado te mostrará un listado de todas las plataformas y aplicaciones que tienen acceso a tu cuenta de Google. Es común que, con el tiempo, este listado crezca a medida que te registras en nuevas plataformas utilizando tu cuenta de Gmail.

Paso 4: Elimina el acceso a sitios no deseados

Revisa cuidadosamente las aplicaciones y sitios web en esta lista. Si encuentras alguno que no reconoces o que ya no utilizas, es importante revocar su acceso para mantener tu cuenta segura. Haz clic en el sitio o aplicación que deseas eliminar.

Una vez dentro, verás una opción que reza "Eliminar todas las conexiones que tienes con [nombre de la app]". Al hacer clic en este botón, revocarás los permisos que habías otorgado previamente, evitando que esa plataforma acceda a tu información personal.

Repite este proceso para cada aplicación o sitio web que consideres innecesario o inseguro. Es recomendable hacerlo con cierta regularidad, ya que esto te permitirá mantener un control más estricto sobre tu información.

(Y de) Paso 5: Verifica la seguridad general de tu cuenta

Después de eliminar el acceso a los sitios web no deseados, aprovecha para hacer una revisión general de la seguridad de tu cuenta de Google. Recuerda que, en la sección de "Seguridad" podrás activar medidas adicionales como la verificación en dos pasos, lo que agrega una capa extra de protección a tu cuenta.

También puedes revisar las alertas de seguridad para asegurarte de que no haya actividades sospechosas.

Consejo adicional

A partir de ahora, siempre que te registres en un nuevo sitio web, considera la opción de utilizar una dirección de correo electrónico temporal o alternativa para evitar que tu cuenta principal quede expuesta a riesgos innecesarios.

Imagen | Marcos Merino mediante IA

En Genbeta | Esta vulnerabilidad amenaza a tus cuentas de Google: permite a un atacante entrar en ellas incluso sin contraseña

En los últimos días, un creciente número de usuarios está reportando intentos constantes de acceso no autorizado a sus cuentas online, principalmente de Microsoft... pero también a otros servicios como GitHub, Booking, y Disney+. Los ataques parecen provenir de diversos países y, muchos usuarios afirman haber recibido hasta decenas de intentos de acceso diariamente.

Ayer, un usuario del popular foro ForoCoches ponía sobre la mesa el problema. Titulado "¿Qué pasa con mi cuenta de Microsoft? Intentos constantes de logueo en varios países", el hilo que publicó sirvió para que varios participantes más le dieran la razón...

...y compartieran, a lo largo del hilo, su preocupación tras sufrir casos similares: constantes notificaciones de intentos de inicio de sesión en sus cuentas, a menudo desde ubicaciones remotas y desconocidas.

"Igual aquí, de locos el montón de intentos y lo diverso de los países".

vía usuario 'Flipe Sexto'

¿Qué hay detrás de los ataques?

Persiste la duda del origen de estos ataques: la mayoría de los usuarios creen que estos están relacionados con la disponibilidad en la Dark Web de correos electrónicos incluidos en filtraciones masivas, que luego son luego utilizados en ataques de fuerza bruta.

Otra opción es que los ataques estén completamente automatizados, incluyendo la comprobación aleatoria de nombres de usuario.

En cualquier caso, lo que más preocupa a los usuarios es la posibilidad de que, a fuerza de prueba y error, los atacantes puedan llegar a 'adivinar' las contraseñas.

En Genbeta

Si tu contraseña está en esta lista, tus datos están en peligro: cuatro consejos para crear una más segura

¿Es Microsoft el único problema?

Varios usuarios argumentan que este tipo de ataques no son exclusivos de Microsoft, sino que se producen en todas las plataformas. Lo que diferencia a Microsoft, según ellos, es que la compañía informa de manera más clara y visible sobre los intentos de acceso fallidos, lo que podría estar creando una mayor percepción de inseguridad en comparación con otros servicios que no muestran esta información de manera tan evidente.

Qué puedes hacer

• Revisar la actividad de tu cuenta: Accede a la sección de actividad de inicio de sesión de tu cuenta (por ejemplo, en Microsoft puedes hacerlo en https://account.live.com/activity) para monitorear cualquier intento de acceso sospechoso.
• Utilizar contraseñas únicas y robustas: Evita reutilizar contraseñas en diferentes servicios y asegúrate de que sean complejas.
• Activar 2FA: Si no lo has hecho ya, habilita la autenticación de dos factores en todas tus cuentas importantes para añadir una capa extra de seguridad.
• Mantente alerta: Evita hacer clic en enlaces sospechosos, incluso si parecen provenir de fuentes legítimas. Usa aplicaciones de gestión de contraseñas para asegurar que tus credenciales estén protegidas.

Con el aumento de los ciberataques a nivel global, es probable que este tipo de intentos continúe, así que la adopción de tecnologías como 2FA será crucial para mitigar riesgos, aunque no eliminará por completo la amenaza.

Imagen | Marcos Merino mediante IA

En Genbeta | Uso un gestor de contraseñas y aunque llegué por la seguridad, me quedé por las funciones extra: así me ayuda en mi día a día

Dropbox está lanzando una nueva funcionalidad que permite manejar de forma simultánea nuestra cuenta personal y otra que tengamos para trabajar en equipo con otras personas. Digo está lanzando, porque el despliegue no es total y muchos usuarios, entre los que me encuentro, no veremos en nuestra cuenta tal posibilidad hasta dentro de unos días.

Este acceso simultáneo solo estará operativo mediante el acceso vía web y no con el cliente de escritorio. Tampoco va a funcionar con dos cuentas personales. A pesar de la limitación, será mucho más fácil alternar entre una cuenta personal y otra profesional sin necesidad de cerrar sesión.

Para aquellos que ya funcione, bastará con pulsar sobre el nombre de la cuenta en la parte superior derecha de la pantalla para ver en el menú desplegable: “cambiar a” (nombre de cuenta). Con esta acción ya podremos manejar la otra sin abandonar la sesión. Eso sí, en cada momento sólo manejaremos una de las cuentas, y cuando cerremos sesión lo haremos en las dos de forma simultánea.

Vía | Dropbox

Si alguno de vosotros ha accedido a algún servicio de Microsoft en la nube que requiera el acceso mediante su cuenta, habrá podido observar que la página de Login Live ha sido actualizada al estilo Metro. Aunque hay más, los requisitos de acceso son más estrictos y se requieren contraseñas más seguras.

Login Live, controles de acceso y contraseñas seguras

El primer cambio que he observado ha sido que, al acceder con un equipo no registrado como equipo de confianza, he aterrizado en otra página donde he sido informado que “no se reconoce el equipo que está usando”, además de notificarme que me han enviado un código por correo electrónico a la cuenta marcada como “alternativa”.

Como me he entretenido realizando capturas para este artículo, el código ha caducado a los pocos minutos, teniendo que solicitar otro para poder acceder a mi cuenta, cuyo aspecto con el nuevo estilo Metro podéis ver en la imagen de cabecera.

Respecto de la fortaleza de la contraseña:

• Se requieren 8 caracteres como mínimo, en vez de los 6 anteriores.

• Las contraseñas deben contener al menos dos de los caracteres siguientes: mayúsculas, letras minúsculas, números y símbolos.

• Se mantiene el requisito anterior consistente en que la contraseña no puede contener la parte de nuestra dirección de correo electrónico que viene antes de la “arroba”.

Los nuevos requisitos de contraseña no se exigen a menos que cambiemos manualmente la contraseña en la nueva página de cuenta de Microsoft. Sin embargo, si la contraseña es considerada como “débil”, recibiremos un mensaje al iniciar la sesión siguiente pidiendo que cambiemos la contraseña por otra más segura.

Como iniciativa me parece bien, más viendo lo que sucede con las contraseñas débiles. Además, con la puesta en escena de Windows 8 y la tienda de aplicaciones de Microsoft, donde realizaremos pagos para adquirir software, el blindaje de nuestros datos personales se torna fundamental.

Más información | Windows Team Blog
En Genbeta | Especial Contraseñas Seguras

El desarrollo de Google Chrome OS continúa, y cuando avisaron que sería un sistema operativo basado en la nube lo decían completamente en serio, ya que un cambio reciente mueve incluso la pantalla de idetificación a la web.

Según los responsables, el tener la pantalla de login en la web aumentará la sensación de poder usar tu sistema operativo desde cualquier ordenador, además de poder realizar sincronizaciones de datos mucho más rápidas y proteger más tu información al no encontrarse tu usuario y contraseña en el disco duro.

Además, si se integra la funcionalidad de Friend Connect en la identificación, Google podría tener una arma para competir eficazmente con otras identificaciones como FaceBook Connect, el intento de gestión de datos de Mozilla o las mismas credenciales de Twitter, que sirven para poder identificarnos en cada vez más sitios web.

Vía | TechCrunch Imagen | a-mason En Genbeta | Cómo instalar Chrome OS en tu ordenador En Genbeta | ¿Ha apostado bien Google con Chrome OS?

Posiblemente muchos de nosotros ya tiene instalado su copia de Windows 7 en el ordenador. Es por eso que ahora que ya tenemos la versión oficial del sistema disponible empieza lo bueno, empiezan a salir aplicaciones para dejarlo a nuestro gusto.

Una de las aplicaciones que hacen eso es Account Screen Editor. Esta aplicación que funciona con Windows 7 nos permitirá cambiar la pantalla de login que aparece cada vez que arrancamos el ordenador (en el caso de que lo tengamos habilitado o tengamos nuestra cuenta protegida con contraseña).

La aplicación es gratuita y no requiere instalación. Desgraciadamente solo está disponible en holandés e inglés, sin embargo el idioma en este caso no considero que sea un problema a la hora de utilizar Account Screen Editor.

Para usar la aplicación simplemente la ejecutamos, le damos a Set background, seleccionamos una imagen de nuestro disco duro y listo. Si queremos volver a la imagen que Windows 7 pone por defecto simplemente pinchamos en Default Background. Si queremos ver como queda podremos hacerlo simplemente dándole a Test.

Vía | Life Rocks 2.0
Descarga | Account Screen Editor