La autenticación en dos factores (2FA) es una característica de seguridad que esperamos como estándar en 2024. La mayoría de los sitios web actuales ofrecen algún tipo de 2FA, y algunos incluso no permiten usar sus servicios hasta que actives esta función. Varios países han adoptado leyes que requieren que ciertos tipos de organizaciones protejan las cuentas de los usuarios con 2FA.
Desafortunadamente, su popularidad ha impulsado el desarrollo de muchos métodos para hackear o eludir 2FA, que siguen evolucionando y adaptándose a las realidades actuales. El esquema de hackeo particular depende del tipo de 2FA que se quiera atacar. Aunque existen diversas variedades de 2FA, la mayoría de las implementaciones se basan en contraseñas de un solo uso (OTP) que el usuario puede recibir mediante un mensaje de texto, llamada de voz, correo electrónico, mensaje instantáneo del bot oficial del sitio web o notificación push de una aplicación móvil. Estos son los tipos de códigos que buscan la mayoría de los estafadores en línea.
Los actores maliciosos pueden obtener OTPs de varias maneras, incluyendo hackeos complejos y de múltiples etapas. Este artículo examina los métodos que se basan en la ingeniería social, donde los atacantes manipulan a la víctima para que entregue el OTP, y las herramientas que utilizan para automatizar estas manipulaciones: los llamados bots de OTP y los paneles de administración para controlar kits de phishing.