En la autenticación de doble factor (2FA) es relativamente común, si no usamos el llavero de iCloud, que recibamos el código a través de un SMS. De ser así nuestro iPhone o iPad es capaz de detectar ese código y ofrecernos autocompletarlo en el sitio o aplicación en el que estamos iniciando sesión de forma automática, una característica que ahora es a prueba de phishing.
Un nuevo estándar para evitar colocar el código donde no es
El autorrelleno de los códigos de doble factor es, sin duda, de gran utilidad. Su uso, sin embargo, puede explotarse en ataques de phishing. ¿Cómo? Un sitio malintencionado puede, haciéndose pasar por otro, solicitar el usuario y la contraseña a un usuario. A posteriori puede pasar este login al sitio real para que el sitio real mande el código por SMS a la víctima. Después de que esta introduzca el código la página malintencionada lo utiliza en el sitio web real y gana acceso completo.
Este último paso, el de rellenar el código de doble factor en un sitio de phishing, es justo el que ahora no será posible. Desde hace algunas semanas, Apple ha solicitado a las diferentes entidades que utilizan el envío de SMS con códigos de doble factor que incluyan el dominio al cual el código pertenece.
Gracias a esto el sistema compara que la URL estipulada concuerda con la URL de Safari, de no ser así se niega a autorrellenar el código de doble factor. Así, si en algún momento estamos entrando en un sitio web y el código recibido por SMS no se rellena automáticamente deberemos sospechar.
Claro está que puede tratarse de un error, como por ejemplo que el servicio aún no ofrezca esta medida de seguridad extra, por supuesto, pero por lo menos deberíamos pararnos un momento y repasar que todo esté bien. Ante la duda es mejor detener el proceso, cerrar la ventana y empezar de nuevo visitando nosotros mismos el sitio al que queremos acceder.
Es posible que ya hayamos empezando a ver, desde finales del año pasado, esta nueva estructura de mensajes para el código de doble factor. Es una estructura similar a esta, que es la que usa Apple:
"Your Apple ID Code is: 123456. Don’t share it with anyone.
@apple.com #123456 %apple.com"
La primera línea es la que está destinada a nosotros, los humanos, mientras que la segunda, que repite el código así como el dominio al que pertenece, está destinada a los sistemas automatizados. La última parte, tras el %, indica dominios extra en el caso de que hubiera un iframe embebido.
Gracias a este sistema, Safari puede saber cuándo no debe ofrecer el autorellenado del código. Una señal que puede alertarnos de alguna situación irregular y salvar del error justo en el último momento, pues recordemos que sin el código de doble factor no se puede acceder a la cuenta. Una medida de seguridad que, como muchas, pueden pasar desapercibidas, pero que son claves a la hora de mantener segura nuestra información.
Imagen | Christina
