Hackean servidor de Reddit a pesar de la autenticación en dos pasos por SMS

Hackean servidor de Reddit a pesar de la autenticación en dos pasos por SMS

Reddit reportó ayer miércoles una brecha de información en sus sistemas informáticos. La buena noticia es que ningún dato especialmente sensible ha abandonado sus instalaciones. La mala, es que mediante engaño se ha burlado el sistema de autenticación de dos factores.

La autenticación en dos pasos / factores también se conoce como 2sv /2fa (two-step verification / two-step authentication). Se basa en combinar algo que eres, algo que tienes y/o algo que sabes para iniciar sesión de forma segura.

El sistema de verificación en dos pasos de Reddit es burlado

Durante mediados de Junio tuvo lugar una intrusión por parte de un hacker, quien pudo acceder a un antiguo backup de Reddit que contenía contraseñas hasheadas de 2007. También pudo tener acceso a suscripciones de correo electrónico de los usuarios, conteniendo sus nombres de usuario y dirección de email en caso de haberse suscrito.

Podemos afirmar por tanto que es una brecha de bajo nivel de criticidad que solamente expondría hashes de contraseñas y direcciones de correo de hace 10 años. Así lo explica Reddit en un post.

El atacante no obtuvo acceso a los sistemas de Reddit, solo pudo obtener permiso de lectura a algunos sistemas que contenían copias de seguridad, código fuente y algunos logs.

Incluso así, esto debería hacer sonar (aún más) las alarmas en el sector de la ciberseguridad, puesto que los empleados utilizaban un sistema de inicio de sesión en dos pasos, comprendiendo una contraseña y un código enviado a su teléfono por SMS

Es decir, se combinó la ingeniería social para conseguir datos de cuentas de algunos de los empleados de la empresa, seguido de un acto de interceptación de SMS para capturar los códigos.

Los peligros de los SMS de verificación

Y es que capturar un SMS empleado como segundo factor de verificación no es demasiado complicado. En el pasado lo que hacían los delincuentes era impersonar el aparato de la víctima para recibir el código por él (adueñarse del número a ojos de las torres de telefonía).

Por otro lado, los atacantes con más recursos pueden realizar ataques más avanzados contra el sistema de transmisión SS7 (Secure Signaling 7) empleado por los operadores en las torres de telefonía para establecer comunicaciones.

Es momento de cambiar de mecanismos

Sea cual sea el método empleado, lo que está bastante claro es que el futuro debe evolucionar hacia un sistema de inicio de sesión que no esté basado en los SMS y transmisión mediante redes móviles sin capas de seguridad adicional. Es decir, ya a día de hoy podemos dar el salto a las llaves FIDO, códigos OTP generados con smartphones, etc.

Los usuarios de Reddit afectados por el robo de credenciales y datos solo deberían modificar su contraseña si mantienen la misma que utilizaban hace 11 años. Seguro que alguno hay, así que por si acaso…

Autor: Alejandro Sánchez

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.