Skip to main content

WhatsApp y la paradoja de la SIM como Verificación en 1 paso

WhatsApp y la paradoja de la SIM como Verificación en 1 paso


En WhatsApp, no hace demasiado tiempo, se incluy� la posibilidad de configurar Verificaci�n en dos pasos utilizando un PIN. Es decir, al sistema de autenticaci�n basado en mensajes OTP enviados por SMS  o por mensaje de voz, se a�adi� la posibilidad de utilizar una contrase�a para poder iniciar sesi�n como segundo paso de la autenticaci�n en dos pasos para proteger tu cuenta de WhatsApp contra el robo de la misma y desalentar a los que desean espiar WhatsApp. Pero este m�todo de proteger la cuenta es algo bastante poco com�n en los servicios de Internet.

Figura 1: WhatsApp y la paradoja de la SIM como Verificaci�n en 1 paso

Como ya sab�is, en la mayor�a de los servicios de Internet se utiliza un usuario y una contrase�a. Dentro de la visi�n de una identidad, esto tiene un factor de universalidad y de usabilidad muy alto, pero de robustez y cumplimiento legal en entornos cr�ticos, muy bajo. Los usuarios y contrase�as se roban con facilidad en los lugares en los que se introducen, pero pueden ser utilizados desde cualquier sitio y todo el mundo entiende c�mo funcionan.

Figura 2: Configuraci�n de Verificaic�n en dos pasos
en las opciones de cuenta de WhatsApp

En el caso de WhatsApp, el primer factor de autenticaci�n es tu tarjeta SIM a la que se env�a un token OTP cada vez que inicias la sesi�n en un nuevo dispositivo, o hay un cambio en el terminal que hace que cambie su huella. Utilizar la SIM es m�s robusto, porque a pesar de que existen ataques a la SIM, no es tan sencillo de robar como un usuario y una contrase�a. Se necesita hacer un ataque mucho m�s elaborado y mucho menos silencioso, ya que el due�o del terminal detecta que su cuenta de WhatsApp ha sido usurpada. 

Por otro lado, es menos usable, ya que no puedes tener abiertas las sesiones en todos los dispositivos que quieras, y siempre deben ser aprobados por el terminal donde tienes la SIM. Incluso si utilizas WhatsApp Web o WhatsApp para Windows o WhatsApp para macOS, estos necesitan que est�n aprobadas las sesiones por la sesi�n principal, y que adem�s est� encendido el terminal, ya que es este el que env�a el tr�fico cifrado del dispositivo al cliente de WhatsApp Web, para macOS o para Windows.

Figura 3: Activar la Verificaci�n en dos pasos en WhtasApp

Es decir, utilizar la SIM es m�s robusto pero al mismo tiempo un poco menos usable y un poco menos universal que utilizar solo usuario y contrase�a - una cuenta, una SIM -. Ahora, con la aplicaci�n de la Verificaci�n en dos pasos utilizando PIN y un correo electr�nico de recuperaci�n, la cosa es a�n m�s segura todav�a y puede que mejor.

�SIM como primero, como segundo o como recuperaci�n de passwords?

Si tu utilizas un usuario y una contrase�a como primer factor de autenticaci�n y la SIM del n�mero para recibir el SMS en caso de que la contrase�a se ha olvidado o perdido, entonces tu SIM es como si fuera tu primer factor de autenticaci�n, tal y como os expliqu� en el art�culo "Cuando los SMS son realmente los first factor of authentication". No es un caso comparable a tener una verificaci�n en dos pasos, pero tiene su importancia en la paradoja que os vengo a contar.

Figura 4: Configurar un PIN como Verificaci�n en dos pasos

Si tu utilizas el usuario y la contrase�a como primer factor de autenticaci�n, y la SIM como segundo factor de autenticaci�n - que no es lo mismo que solo utilizarlo para restablecer la password - entonces puede darse el caso de que te roben el usuario y la password, y se busquen ma�as para robar el SMS (o el token TOTP si no llega por SMS) a posteriori. De hecho, muchas v�ctimas reciben el OTP porque les han robado la password y no saben por qu� lo han recibido, y siguen utilizando la misma contrase�a hasta que con alg�n ataque de ingenier�a social consiguen que la v�ctima les de el OTP, o preparan un ataque de SIM Swapping, o incluso un APT utilizando SDR-RTL en la ubicaci�n f�sica de la v�ctima para robarle el token OTP que le llegue. Cualquiera de los ataques dirigidos a la SIM de los que ya os habl�.

Figura 5: Configurar correo electr�nico para recuperar el PIN

Alguien podr�a pensar que esto es al rev�s en WhatsApp con este sistema, es decir, si el atacante tiene que robar primero la autenticaci�n basada en la SIM y luego el PIN de la password, la v�ctima se dar�a cuenta de que la cuenta ya no le funciona por culpa de la SIM y podr�a alertarse. Pero los atacantes no van a caer en este error b�sico sabiendo c�mo funciona WhatsApp ahora con la Verificaci�n en dos pasos

Figura 6: Solicitud de PIN para activar una cuenta de WhatsApp
protegida co Verificaci�n en dos pasos

Si un atacante tuviera que robar una cuenta de WhatsApp ya no debe preocuparse de robar solo la cuenta v�a robo de SIM. Deber�a previamente robar el PIN que se utiliza como segundo factor de autenticaci�n o la cuenta de correo electr�nico con la que se recupera el PIN. Si no lo hiciera, entonces la v�ctima se dar�a cuenta muy r�pidamente y el atacante ser�a detectado. 

La paradoja de la  SIM

Sin embargo, si la v�ctima tiene una cuenta de WhatsApp que tiene una Verificaci�n en dos pasos, que est� protegida por un PIN, y este PIN se puede recuperar por medio de una cuenta de correo electr�nico que utiliza como forma de recuperar la contrase�a la SIM, entonces, la Verificaci�n en dos pasos de WhatsApp acabar�a de convertirse en Verificaci�n en 1 paso. Bonita paradoja.

Figura 7: Restablecimiento de contrase�a de cuenta de Gmail usando SMS

Este error puede sucederte, si no te has fijado en los detalles de la seguridad de tus cuentas. Y puedes caer en �l solo porque la cuenta de WhatsApp y la de correo configuran la seguridad de forma inversa. Una pide el n�mero de tel�fono para autenticarse junto con un OTP m�s un PIN que se recupera por correo electr�nico. La otra pide un usuario de e-mail m�s una password que se recupera por SMS. As� que, como conclusi�n de esta diatriba, deber�as llevarte los siguientes puntos para asegurarte de no haber ca�do en esta paradoja.
1.- Configura la Verificaci�n en dos pasos de WhatsApp s� o s�. 
2.- Configura como cuenta de correo electr�nico una con verificaci�n en dos pasos
3.- Configura una cuenta de correo electr�nico que no utilice la misma SIM para restablecer la contrase�a bajo ning�n concepto. 
4.- O al menos, que la cuenta de correo electr�nico que uses no sea conocida.
Saludos Malignos!

Sigue Un inform�tico en el lado del mal - Google+ RSS 0xWord


download file now

download
alternative link download
Labels:

Popular posts from this blog

Mini Militia ReAL DuAL WiELD MOD 3 06 by ARSHAD

Mini Militia ReAL DuAL WiELD MOD 3 06 by ARSHAD Most of my friends and sites visitors request me to create a Dual Wield MOD + Pro pack... I DONE IT......... Features:- � Propack Unlocked � Unlimited Ammo OR Bullets � ReAL DuAL WiELD MOD ( Bugs fixed now its working) � No Reload � One shot Kill ( 4 Bullets per shot ) � Unlimited Boost � Unlimited Bombs � No one can see u in Solo Play Mod Screenshots:- Click below for Download Use Chrome or other default browser for download this mod Dont Use Uc Mini Wait 5 seconds and Skip ad download  file  now
Read more

Mini Militia MEGA MOD 3 0 27 by Arshad KMODS

Mini Militia MEGA MOD 3 0 27 by Arshad KMODS New MEGA MOD 3.0.27... � 4X Time To Refill Health :- ?If You Injured by Gun/Bomb Then Your Life Refill/Recharge In 4X. � Die Only By Guns:- ?Bombs Will Not Harm For You. � High Range Of Bullets:- ?All Guns Rage Is Increased. � Sniper Zoom:- ?All Weapons Have 7X Zoom. � Laser Sight:- ?All Weapons Have Laser Sight. � Dual Wield MOD:- ?Now You Can Take Any Weapon As Dual Weapon , Like Taking Rocket Launcher With Sniper Or Double Barrel With A Fire Sprayer Or With Same Weapons (Example :- AK47 With Another AK47) Too. ?Sometimes It Will Freeze The Game While Playing In Quick Play MOD. � Unlimited Flying Power :- ?Unlimited Boost. � Disabled Gravity :- ?You Will Float On Air Like Lunacy. � One Shot Mega MOD:- ?9 Bullets PerShot. � Unlimited Ammo Or Bullets :- ?Your Guns Will Get Unlimited Number Of Bullets. ?Now You Can Switch Weapons And Throw Grenades. ?You Want Freezes Or Crashes In Quick Play Or Online MOD. ?The Zero Ammo In Lan-Wifi MOD Is Al...
Read more

Mini Militia IRON MAN MOD

Mini Militia IRON MAN MOD Download Mini Militia IRON MAN MOD Features :- � Pro pack Unlock � Unlimited Boost � Unlimited Bomb � One shot death (4 bullets per shot) � Unlimited Ammo or Bullets � No Reload � No one can see u in Solo Play mod � HD backgrounds � Modded Guns � New Music � You Can see other players life � In multiplayer mod you get Commander in Chiefs Batch � Different IRON MAN suitwith different colors combination � Blue bars are now green � Invisible Avatar ( only work if you chose invisible avatar ) Click below for download Wait 5 seconds and Skip AD Note:-       If any one not find Iron Man Avatars pls read this.. If any one not find do this steps 1) Open Mini Militias this mod 2) Go to Setting 3) Chose Configure (  3rd Option ) 4) Now OFF HI-RES GFX ( 4th Option ) 5) Restart Game 6) Done!!! Enjoy Mini Militia Iron Man MOD!!!!!!! Screenshots?? Share maximum......?????????????? download  file  now
Read more