
Seguramente estarás harto de las contraseñas, esas combinaciones imposibles de recordar, llenas de símbolos y números, que de repente aparecen en una filtración masiva.
Ten presente que los gigantes tecnológicos lo saben, y por eso llevan años buscando una alternativa, y una de las más populares parecía ser la solución definitiva ¿cuál? iniciar sesión con un código de un solo uso enviado a tu correo electrónico o teléfono.
Microsoft, por ejemplo, es una de las empresas que ha adoptado este sistema, conocido como «enlace mágico». Aún así, lo que parecía una solución simple y elegante, se está convirtiendo en una nueva pesadilla para la ciberseguridad.
¿Por qué? Porque abre la puerta a una nueva forma de estafa de phishing más efectiva.
Así te engañan con el código de un solo uso para las contraseñas
Imagina que recibes un correo electrónico o un SMS que parece completamente legítimo, con una oferta tentadora o una alerta de seguridad urgente.
De hecho, ese mensaje te pide que accedas a una página web, que es una copia perfecta del original. Una vez allí, te solicitan tu correo electrónico o tu número de teléfono para iniciar sesión.
Aquí es donde comienza el ataque:
-Paso 1: El atacante en la sombra. Mientras tú introduces tus datos personales en la página falsa, el hacker hace lo mismo en la web real.
-Paso 2: Recuerda que el código llega a tu bandeja de entrada. El servicio legítimo, al no saber que el atacante está detrás, envía un código de verificación válido a tu correo electrónico o móvil.
-Paso 3: La web falsa te pide el código, y justo en ese mismo momento, la página fraudulenta te solicita que introduzcas el código de seis dígitos que acabas de recibir. Y como ya te has acostumbrado a este proceso, es fácil caer en la trampa.
Un problema real y activo
Luego de introducir el código en la página falsa, el daño ya está hecho. Es más, el atacante lo utiliza de inmediato en la web real para acceder a su cuenta.
Por ende, en cuestión de segundos, puede cambiar tu correo electrónico o teléfono de recuperación y apoderarse de ellos por completo.
Ten presente que este tipo de ataques ya no es solo una teoría, porque se ha visto en la práctica, por ejemplo, con las cuentas de Minecraft de Microsoft.
Al parecer, numerosos jugadores han reportado en foros y en Reddit cómo perdieron el acceso a sus cuentas de la noche a la mañana, después de seguir los pasos de un correo fraudulento que les pedía introducir un código de un solo uso.
¿Códigos o contraseñas?
Muchas personas al día de hoy se preguntan si es mejor volver a las contraseñas de siempre. La realidad es que ningún sistema es 100% seguro.
De hecho, los password pueden filtrarse, y los códigos de un solo uso son vulnerables a este tipo de phishing avanzado.
Ahora, la clave no está en el sistema que utiliza, sino en el sentido común. Según expertos la mejor defensa siempre será la desconfianza:
- Verifica la URL: Antes de introducir cualquier dato, es clave revisar que la dirección web sea la correcta.
- Sospecha de lo inesperado: Debes desconfiar de ofertas increíbles, avisos de seguridad urgentes o cualquier mensaje que te pida actuar de inmediato.
- Usa un buen gestor de contraseñas: Por lo general, los gestores de calidad no solo guardan tus contraseñas de forma segura, sino que también las vinculan a una URL específica. Por tanto, si accede a una web falsa, el gestor no se autocompletará nada, alertándote del peligro.
En resumen, si bien las empresas buscan la solución perfecta, la responsabilidad final de tu seguridad recaerá en tu propia precaución.
Otros artículos interesantes:
- ¿Por qué es tan peligroso el link wrapping?
- Misteriosa llegada de Windows 11 a PCs no compatibles
- Windows: instala la nueva actualización de junio 2025
(S.M.C)