Trampas de la recuperación de contraseñas - cuando la recuperación de cuentas se convierte en vector de ataque

Lectura de 12 min aprox.

El proceso de recuperación de contraseñas, diseñado para ayudar a los usuarios a recuperar el acceso a sus cuentas, es paradójicamente uno de los eslabones más débiles en la seguridad de autenticación. Los atacantes apuntan cada vez más a los flujos de recuperación de cuentas en lugar de a las contraseñas mismas, porque los mecanismos de recuperación a menudo eluden las mismas medidas de seguridad que protegen la cuenta. Un informe del Grupo de Análisis de Amenazas de Google de 2024 reveló que el abuso de recuperación de cuentas representó el 28% de las tomas de control de cuentas dirigidas, superando al phishing como vector de ataque principal en ciertas categorías. Los ataques de SIM swapping contra la recuperación basada en SMS han aumentado un 450% desde 2021 según el FBI IC3. Este artículo expone las vulnerabilidades estructurales en los sistemas de recuperación de contraseñas y proporciona defensas prácticas tanto para usuarios como para diseñadores de servicios.

Problemas estructurales con los restablecimientos basados en correo electrónico

Los restablecimientos de contraseña basados en correo electrónico son el método de recuperación más extendido, pero desde una perspectiva de seguridad, tienen el problema fundamental de "hacer que la fortaleza de la contraseña dependa de la fortaleza de la cuenta de correo." Sin importar cuán fuerte sea la contraseña que establezca, si su cuenta de correo se ve comprometida, su cuenta puede ser tomada inmediatamente a través del enlace de restablecimiento.

Las vulnerabilidades técnicas agravan este problema. Muchos servicios generan tokens de restablecimiento con aleatoriedad insuficiente o no establecen tiempos de expiración adecuados. Un análisis de OWASP de 2023 encontró que el 12% de las aplicaciones web encuestadas usaban patrones de generación de tokens predecibles, y el 8% permitía que los tokens de restablecimiento permanecieran válidos por más de 24 horas. Además, los enlaces de restablecimiento transmitidos por correo electrónico sin cifrar pueden ser interceptados mediante ataques de intermediario en redes Wi-Fi públicas. Para proteger la cuenta de correo que sirve como base de todos los restablecimientos, consulte nuestra guía de protección de cuentas de correo.

Restablecimientos por SMS y la amenaza del SIM swap

Hubo un tiempo en que los restablecimientos de contraseña basados en SMS se consideraban más seguros que el correo electrónico. Sin embargo, el aumento de los ataques de SIM swap ha socavado completamente esa suposición. El SIM swapping es una técnica donde los atacantes engañan al servicio al cliente del operador móvil (o usan cómplices internos) para transferir el número de teléfono del objetivo a la tarjeta SIM del atacante.

Según el informe del FBI IC3 de 2023, las pérdidas por ataques de SIM swap alcanzaron los 48 millones de dólares anuales, con pérdidas por incidente aumentando desde los 68 millones totales de 2021 a medida que las técnicas se volvieron más sofisticadas. Después de obtener el control del número de teléfono, los atacantes pueden recibir todos los códigos de restablecimiento de contraseña y códigos de autenticación de dos factores enviados por SMS. En otras palabras, la recuperación basada en SMS es un vector de ataque de "dos pájaros de un tiro" que permite a los atacantes eludir tanto contraseñas como autenticación de dos factores simultáneamente.

Por qué las preguntas de seguridad no son "secretas"

Las preguntas de seguridad siguen siendo uno de los mecanismos de recuperación más peligrosos aún en uso. El estudio emblemático de Google de 2015 "Secrets, Lies, and Account Recovery" demostró que el 37% de los usuarios proporcionaban intencionalmente respuestas falsas a las preguntas de seguridad para mayor seguridad, pero estas respuestas falsas a menudo se olvidaban, haciendo imposible la recuperación. Por el contrario, las respuestas verdaderas a preguntas comunes como "apellido de soltera de la madre" o "ciudad donde nació" pueden descubrirse fácilmente mediante ingeniería social o búsquedas en registros públicos.

La proliferación de las redes sociales ha agravado aún más este problema. Los perfiles de Facebook listan ciudades natales y escuelas, mientras que Instagram presenta fotos de familia y mascotas. Las respuestas a preguntas como "¿Cuál fue el nombre de tu primera mascota?" o "¿De qué escuela secundaria te graduaste?" a menudo pueden determinarse navegando las redes sociales del objetivo durante solo 5 minutos. Si debe establecer preguntas de seguridad, el mejor enfoque es establecer cadenas aleatorias no relacionadas con las preguntas como respuestas y guardarlas en un gestor de contraseñas.

Cómo almacenar de forma segura los códigos de recuperación

Cuando configura la autenticación de dos factores, muchos servicios emiten códigos de recuperación de respaldo (típicamente 8-10 códigos de un solo uso). Estos códigos de recuperación son el último recurso cuando pierde su dispositivo de autenticación, pero un almacenamiento inadecuado crea un nuevo vector de ataque.

El método de almacenamiento más peligroso es guardar los códigos de recuperación en borradores de correo o notas en la nube. Si su cuenta de correo se ve comprometida, los códigos de recuperación se filtran simultáneamente. Guardarlos como capturas de pantalla en su biblioteca de fotos también conlleva el riesgo de filtración a través de la sincronización en la nube.

Hay tres métodos de almacenamiento recomendados. Primero, guardarlos en la función de notas seguras de un gestor de contraseñas. Segundo, imprimirlos en papel y almacenarlos en una caja fuerte ignífuga. Tercero, guardarlos sin conexión en una unidad USB cifrada. En todos los casos, no limite el almacenamiento de códigos de recuperación a una ubicación - distribúyalos en 2 o más ubicaciones para que la recuperación siga siendo posible incluso si se pierde una ubicación.

Para una gestión integral de contraseñas incluyendo la gestión de códigos de recuperación, guías prácticas de gestión de contraseñas (Amazon) también pueden ser útiles.

Errores comunes de diseño de flujo de recuperación por diseñadores de servicios

Las vulnerabilidades de recuperación de contraseñas no son solo un problema del lado del usuario. También existen problemas estructurales en el diseño del proveedor de servicios.

• Expiración del token de restablecimiento demasiado larga: Los tokens válidos por más de 24 horas dan a los atacantes tiempo suficiente. Recomendado: 15-30 minutos
• No invalidar sesiones existentes después del restablecimiento: Incluso después del restablecimiento de contraseña, las sesiones existentes del atacante sobreviven y el acceso continúa
• Sin límite en intentos de restablecimiento: Los atacantes pueden solicitar cantidades masivas de enlaces de restablecimiento e intentar adivinación de tokens o ataques de temporización
• No notificar al propietario de la cuenta tras un restablecimiento exitoso: Los usuarios legítimos pierden la oportunidad de notar restablecimientos no autorizados
• El flujo de recuperación elude la autenticación de dos factores: Diseño donde completar el restablecimiento de contraseña permite iniciar sesión sin restablecer la autenticación de dos factores

Defensas que los usuarios deben implementar ahora mismo

1. Proteja su cuenta de correo como máxima prioridad. Genere una contraseña aleatoria de 20+ caracteres en passtsuku.com y habilite la autenticación de dos factores con una llave FIDO2 o aplicación de autenticación
2. Evite la recuperación basada en SMS siempre que sea posible. Use aplicaciones de autenticación o llaves FIDO2 en su lugar. Si SMS es la única opción, contacte a su operador para establecer un PIN de transferencia de SIM. Consulte nuestra guía de autenticación de dos factores para más detalles
3. Establezca cadenas aleatorias para las preguntas de seguridad y guárdelas en un gestor de contraseñas. Nunca establezca respuestas honestas
4. Almacene los códigos de recuperación en dos ubicaciones: un gestor de contraseñas cifrado y una copia impresa en papel
5. Adopte passkeys en servicios que las soporten. La autenticación basada en passkeys elimina completamente el problema de recuperación de contraseñas ya que no hay contraseña que recuperar

Preguntas frecuentes

¿Qué debo hacer si recibo un correo de restablecimiento de contraseña que no solicité?

No haga clic en el enlace de restablecimiento. Inicie sesión inmediatamente en el servicio usted mismo y cambie su contraseña. Alguien puede estar intentando acceder a su cuenta. Si la autenticación de dos factores no está configurada, habilítela inmediatamente y verifique el historial de inicio de sesión en busca de accesos sospechosos. Como precaución, recomendamos también cambiar las contraseñas de otros servicios que usen la misma dirección de correo.

¿Cómo puedo protegerme de los ataques de SIM swap?

Contacte a su operador móvil para configurar autenticación adicional para transferencias de SIM (código PIN o verificación en persona). La medida más efectiva es cambiar de autenticación de dos factores basada en SMS a una aplicación de autenticación o llave de seguridad FIDO2. Además, es importante no hacer de su número de teléfono el único método de recuperación - configure múltiples opciones de recuperación.

¿Hay alguna forma de establecer preguntas de seguridad de forma segura?

El mejor enfoque es establecer cadenas aleatorias no relacionadas con el contenido de la pregunta como respuestas y guardarlas en un gestor de contraseñas. Establecer una cadena aleatoria como "xK9#mP2vL" para "apellido de soltera de la madre" hace imposible adivinar desde las redes sociales. Nunca establezca respuestas honestas - pueden adivinarse fácilmente a partir de información publicada en redes sociales.