domingo, 7 de septiembre de 2014

Segundo factor de autenticación en Linkedin


A mediados de agosto, al dejar mi trabajo en Caja de Ingenieros y por lo tanto abandonar mi número de teléfono móvil, me encontré con que el número al que enviaba mi segundo factor de autenticación había desaparecido. Sin embargo, pensé que no pasaba nada, puesto que en cuanto tuviera disponible mi número suizo no tendría más que actualizar el número de teléfono en linkedin, gmail y los otros servicios online que tienen el doble factor de autenticación.

Sin embargo, coincidiendo con la misma fecha, actualicé mi versión de ubuntu de la 12.04 a la 14.04 sin pensar para nada en el tema del doble factor. Y, efectivamente, me quedé sin acceso a mis servicios online, ya que los servicios web no reconocían mi PC como un equipo autorizado, y aunque me mandaran el código de acceso a mi teléfono móvil yo ya no era capaz de recibirlo.

Con Gmail, no fue un problema, puesto que permite tener configurado un segundo número de teléfono móvil en el que recibir el código, así que pude acceder y cambiar la configuración del acceso con segundo factor. También te dan la opción de tener impresos códigos de emergencias de un sólo, por lo que las alternativas de cara a recuperar el acceso son mayores.

Sin embargo, linkedin no permite configurar un teléfono alternativo, por lo que no tenía ningún medio de acceder a mi cuenta. Tras enviar un mail a su dirección de soporte preguntándoles cómo podía conseguir recuperar mi acceso, me solicitaron que les enviara por mail una imagen de mi DNI o mi pasaporte. Una vez enviado, deshabilitaron el segundo factor inmediatamente, por lo que pude recuperar mi cuenta sin problema.

A raíz del incidente, me planteé si se podría aprovechar este procedimiento que tiene linkedin para permitir que los usuarios que sean tan torpes como yo y que pierdan tanto su móvil como los equipos autorizados a acceder a la cuenta, para conseguir acceso a una cuenta sin necesidad de disponer del segundo factor de autenticación. Y en efecto, se podría llegar a acceder, ya que el procedimiento es vulnerable (no se trata de una vulnerabilidad técnica en este caso, sino procedimental). Así pues, el segundo factor de autenticación en Linkedin puede ser saltado bajo determinadas circunstancias. Veamos como:

Todo lo que necesita el atacante es conocer el nombre de usuario y contraseña de la víctima y hacer uso de Gimp, photoshop u otra herramienta de edición digital para enviar un DNI falsificado al equipo de soporte de Linkedin. Al fin y al cabo, lo único que se tiene que modificar es la foto, que podría obtener directamente del perfil público de la víctima o de cualquier red social, la fecha de nacimiento y el nombre y apellidos. El número, la dirección y otros datos del carné se pueden dejar incorrectos puesto que no son conocidos por Linkedin y por tanto no pueden cotejarlos. Es posible que el personal de linkedin también compruebe que el mail desde el que el usuario está solicitando la resolución del problema coincida con el que tiene informado el usuario, por lo que el atacante deberá falsear la dirección de remitente al enviar el mail.

Aunque el ataque tiene un alcance muy limitado y puede ser fácilmente detectado por la víctima al recibir mails inesperados del soporte de Linkedin, si el atacante ha conseguido comprometer también el correo de la víctima, por ejemplo porque use la misma contraseña y no lo tenga protegido con doble factor, el ataque podría perpetrarse de una forma mucho más limpia y efectiva.

En cualquier caso, siempre se deberían seguir las siguientes recomendaciones de seguridad en el uso de las cuentas on line:

  • Protege siempre tu móvil con código o contraseña. De lo contrario, si alguien te lo roba o lo pierdes, tendrán acceso directo a tu correo electrónico y a tus perfiles digitales.
  • Intenta no reutilizar la misma contraseña en diversos servicios online para evitar que el compromiso de una credencial resulte en el compromiso de todos tus servicios online.
  • Siempre que sea posible, evita que el acceso a Linkedin u otros servicios online se haga desde el mismo móvil en el que recibes el segundo factor de autenticación. En caso de que el terminal esté infectado por un malware, es posible que el atacante sea capaz de obtener tanto las credenciales de acceso como el código de segundo factor.
  • No almacenes en tu correo imágenes de tu pasaporte, DNI, etc... Como ves, pueden ser utilizadas para conseguir acceso a tus servicios online sin disponer del segundo factor de autenticación.

¿Aún no me sigues en twitter? @omarbenjumea

No hay comentarios: