La mayoría de las redes sociales y servicios de Internet ofrecen un sistema llamado "Verificación en dos pasos". ¿Qué significa? Que en vez de un solo paso, la contraseña, necesitamos otro dato para poder entrar a nuestra cuenta o correo, en general mediante el teléfono celular.
Una vez ingresado el usuario y la contraseña en la plataforma que intentemos usar, la cuenta envía un mensaje de texto al teléfono del propietario, con un código. Sin ingresarlo, no se puede acceder a la cuenta. Simple y efectivo. Claro, siempre y cuando no caigamos víctimas de alguien que mezcla conocimientos de hackeo con una cuota de simpatía.
En el mundo informático se lo conoce como "ingeniería social": buscar datos de la víctima -como el nombre de su mascota, de su familia o la calle en la que vivió de chico- para acceder a su información. Pero en este caso fueron más allá y consiguieron el dato necesario de una forma muy simple: lo pidieron. "Acá hay un ejemplo para sortear la autenticación en dos pasos con ingeniería social", dice el tuit.
Atacante: Ey, sé que no me conocés, pero hace muchos años yo tenía tu mismo número. Estoy intentando registrarme en una cuenta vieja que sigue vinculada a [este número], pero me dice que va a enviarme un código de verificación. Me gustaría saber si te parece bien que yo solicite el código y ¿tú me lo envíes por mensaje? Si prefieres no hacerlo, no hay problema.
Víctima: Ok.
Atacante: ¡Muchísimas gracias! Acabo de solicitarlo.
Víctima: 209959.
Atacante: Me has salvado la vida. Muchísimas gracias y perdona la molestia.
Víctima: De nada.
En este ejemplo la ingeniería social funciona mediante la manipulación del usuario. Una vez más, como en otros casos, la clave para que se pueda hackear una cuenta es la inocencia de la víctima, que nunca supone que el inocente pedido puede ser en realidad un intento de robo de información.
