Un estudio sobre las fallas de seguridad en la creación de cuentas de usuario advierte sobre la existencia de “ataques presecuestro”; en otras palabras, el robo de perfiles aún antes de que la víctima los haya creado.
La investigación consistió en el análisis de los 75 servicios más populares según las clasificaciones globales de Alexa. “Encontramos que al menos 35 de estos eran vulnerables a uno o más ataques presecuestro, incluidos servicios importantes como Dropbox, Instagram, LinkedIn, Wordpress.com y Zoom”.
El objetivo del atacante, advierte el estudio, es obtener el control de la cuenta de usuario en un servicio. Según su naturaleza, esto podría permitir al atacante acceder a información confidencial (mensajes, documentos, facturación, declaraciones, etc.) o hacerse pasar por la víctima (enviar mensajes, suscripción a servicios, etc.).
El informe publicado en arXiv, una plataforma de distribución gratuita y de archivo con acceso abierto, fue realizado por los investigadores Avinash Sudhodanan (independiente) y Andrew Paverd del Microsoft Security Response Center.
También lea: Seis de cada 10 mexicanos confía en que su contraseña es segura
“Divulgamos estas vulnerabilidades a las organizaciones afectadas. Algunas han reconocido las vulnerabilidades como de alta gravedad”, detallan en sus conclusiones.
¿Cómo funcionan los ataques presecuestro?
El informe Cuentas presecuestradas: un estudio empírico de fallas de seguridad en Creación de Cuenta de Usuario en la Web se divide en tres fases el ataque presecuestro de cuentas.
En la primera, el atacante utiliza una cuenta de correo o teléfono móvil, que no suele ser información confidencial, de algún usuario para crear una cuenta en el servicio de destino. El requisito es que la víctima no tenga una cuenta ya en el servicio.
Para el hacker es fácil detectar si este es el caso sin correr algún riesgo, pues el servicio responderá que la cuenta ya existe. “El éxito de este ataque depende de la habilidad del atacante capacidad de anticipar los servicios en los que las víctimas crear cuentas”, señala la investigación.
En la segunda fase, la víctima crea —o recupera— su cuenta en el servicio destino con el mismo correo. “Idealmente, este sería el punto en el que el usuario se da cuenta de que se ha producido un secuestro previo, basado en algunos tipo de notificación del servicio”.
Pero el estudio analiza las posibilidades por las que pueden ser evadidas estas alertas. Bajo el supuesto de que la víctima no es notificado o no atiende a la notificación, continuaría con el uso de su cuenta normalmente.
En la tercera fase, el ciberdelincuente obtiene acceso a la cuenta presecuestrada de la víctima. “Las técnicas específicas utilizados dependen de qué técnica se utilizó en la primera fase”. Algunas de ellas pueden hacer que pierda el acceso a su cuenta, mientras que otras permiten el acceso simultáneo.
