La verificación de dos pasos en PayPal es vulnerable a la piratería

paypal-verificación en 2 pasos

Si cree que ya está seguro en línea porque todas sus cuentas basadas en la Web tienen una verificación de dos factores, piénselo nuevamente. Especialmente si usa PayPal.

Un joven investigador de seguridad de Australia ha encontrado una manera de evitar la tan promocionada autenticación de dos factores y obtener el control de cualquier cuenta de PayPal.

La función, que ha tenido una amplia adopción en servicios populares de Internet, incluidos Gmail y Facebook, ofrece una buena medida de seguridad para las cuentas protegidas con contraseña. Funciona al requerir que un usuario que intenta obtener acceso a su cuenta o la de otra persona envíe un segundo factor de seguridad enviado a través de un mensaje de texto.

paypal-verificación en 2 pasos

En la mayoría de las instituciones financieras, la autenticación de dos factores es una implementación obligatoria, especialmente porque los datos altamente sensibles se almacenan en sus enclaves.

Los usuarios tienen varias opciones sobre cómo les gustaría recibir el código de seguridad de segundo factor, no solo a través de SMS. La mayoría de los casos implican enviar el código fuera de línea a un número de teléfono móvil o los usuarios pueden optar por tener una aplicación móvil para generar automáticamente el código. Luego, debe ingresarse en un campo de seguridad una vez que se ingresaron un nombre de usuario y una contraseña.

Pero Joshua Rogers de Melbourne pudo abrir una cuenta de PayPal con la autenticación de dos factores habilitada.

Al usar malware inyectado en un sistema informático, los piratas informáticos primero tendrán que obtener las credenciales de inicio de sesión de eBay y PayPal desde una computadora comprometida de una víctima objetivo. Es uno de los requisitos para que el ataque funcione.

La vulnerabilidad se produce en eBay en la que las cuentas de PayPal y eBay de un usuario deben vincularse. Al conectar las dos cuentas, se forma una cookie y el sistema de PayPal acepta el inicio de sesión de una persona en eBay a pesar de la falta del código de seis dígitos.

Según Rogers, un pirata informático puede conectar y desconectar las cuentas objetivo de eBay y PayPal. También existen otros métodos para eludir la autenticación de dos factores de PayPal. E incluso con otras medidas de seguridad, como preguntas de seguridad al iniciar sesión si se ha olvidado un código de acceso, los atacantes aún podrían solucionarlo si han acumulado suficiente información personal de sus víctimas.

Al principio, Rogers informó al equipo de PayPal sobre la vulnerabilidad que encontró, pero dijo que la compañía no solucionó la falla de inmediato. Entonces decidió dar a conocer su descubrimiento al público.

La conclusión es que las empresas de Internet deben actualizar constantemente su infraestructura de seguridad para la empresa y los clientes, especialmente en una era en la que el panorama de amenazas está evolucionando rápidamente.

0 Shares