A mediados de
agosto, al dejar mi trabajo en Caja de Ingenieros y por lo tanto
abandonar mi número de teléfono móvil, me encontré con que el
número al que enviaba mi segundo factor de autenticación había
desaparecido. Sin embargo, pensé que no pasaba nada, puesto que en
cuanto tuviera disponible mi número suizo no tendría más que
actualizar el número de teléfono en linkedin, gmail y los otros
servicios online que tienen el doble factor de autenticación.
Sin embargo,
coincidiendo con la misma fecha, actualicé mi versión de ubuntu de
la 12.04 a la 14.04 sin pensar para nada en el tema del doble factor.
Y, efectivamente, me quedé sin acceso a mis servicios online, ya que
los servicios web no reconocían mi PC como un equipo autorizado, y
aunque me mandaran el código de acceso a mi teléfono móvil yo ya
no era capaz de recibirlo.
Con Gmail, no fue un
problema, puesto que permite tener configurado un segundo número de
teléfono móvil en el que recibir el código, así que pude acceder
y cambiar la configuración del acceso con segundo factor. También
te dan la opción de tener impresos códigos de emergencias de un
sólo, por lo que las alternativas de cara a recuperar el acceso son
mayores.
Sin embargo,
linkedin no permite configurar un teléfono alternativo, por lo que
no tenía ningún medio de acceder a mi cuenta. Tras enviar un mail a
su dirección de soporte preguntándoles cómo podía conseguir
recuperar mi acceso, me solicitaron que les enviara por mail una
imagen de mi DNI o mi pasaporte. Una vez enviado, deshabilitaron el
segundo factor inmediatamente, por lo que pude recuperar mi cuenta
sin problema.
A raíz del
incidente, me planteé si se podría aprovechar este procedimiento
que tiene linkedin para permitir que los usuarios que sean tan torpes
como yo y que pierdan tanto su móvil como los equipos autorizados a
acceder a la cuenta, para conseguir acceso a una cuenta sin necesidad
de disponer del segundo factor de autenticación. Y en efecto, se
podría llegar a acceder, ya que el procedimiento es vulnerable (no
se trata de una vulnerabilidad técnica en este caso, sino
procedimental). Así pues, el segundo factor de autenticación en
Linkedin puede ser saltado bajo determinadas circunstancias. Veamos
como:
Todo lo que necesita
el atacante es conocer el nombre de usuario y contraseña de la
víctima y hacer uso de Gimp, photoshop u otra herramienta de edición
digital para enviar un DNI falsificado al equipo de soporte de
Linkedin. Al fin y al cabo, lo único que se tiene que modificar es
la foto, que podría obtener directamente del perfil público de la
víctima o de cualquier red social, la fecha de nacimiento y el
nombre y apellidos. El número, la dirección y otros datos del carné
se pueden dejar incorrectos puesto que no son conocidos por Linkedin
y por tanto no pueden cotejarlos. Es posible que el personal de
linkedin también compruebe que el mail desde el que el usuario está
solicitando la resolución del problema coincida con el que tiene
informado el usuario, por lo que el atacante deberá falsear la
dirección de remitente al enviar el mail.
Aunque el ataque tiene un
alcance muy limitado y puede ser fácilmente detectado por la víctima al recibir
mails inesperados del soporte de Linkedin, si el
atacante ha conseguido comprometer también el correo de la víctima,
por ejemplo porque use la misma contraseña y no lo tenga protegido
con doble factor, el ataque podría perpetrarse de una forma mucho
más limpia y efectiva.
En cualquier caso,
siempre se deberían seguir las siguientes recomendaciones de
seguridad en el uso de las cuentas on line:
- Protege siempre tu móvil con código o contraseña. De lo contrario, si alguien te lo roba o lo pierdes, tendrán acceso directo a tu correo electrónico y a tus perfiles digitales.
- Intenta no reutilizar la misma contraseña en diversos servicios online para evitar que el compromiso de una credencial resulte en el compromiso de todos tus servicios online.
- Siempre que sea posible, evita que el acceso a Linkedin u otros servicios online se haga desde el mismo móvil en el que recibes el segundo factor de autenticación. En caso de que el terminal esté infectado por un malware, es posible que el atacante sea capaz de obtener tanto las credenciales de acceso como el código de segundo factor.
- No almacenes en tu correo imágenes de tu pasaporte, DNI, etc... Como ves, pueden ser utilizadas para conseguir acceso a tus servicios online sin disponer del segundo factor de autenticación.
¿Aún no me sigues
en twitter? @omarbenjumea
