Lo que parecía un avance en la seguridad digital se ha convertido en una nueva vía para que los ciberdelicuentes se salgan con la suya. El sistema de inicio de sesión con códigos de un solo uso está siendo explotado través de nuevas campañas de phishing.
Pese a la visión de un acceso más sencillo y sin contraseñas, miles de internautas han terminado entregando, sin saberlo, las llaves de sus cuentas personales.
Lee también“Es alucinante la serie de productos que vendrán”: una fuente cercana a Tim Cook revela que Apple prepara un robot con IA y se ha propuesto recuperar la chispa de la marca
Durante años, las contraseñas tradicionales fueron señaladas como el eslabón más débil de la ciberseguridad. El reemplazo con códigos de un solo uso o magic links se presentó como la alternativa ideal: el usuario introduce su correo o número de teléfono y recibe un código válido para acceder. Sin embargo, esta simplicidad ha demostrado ser su mayor debilidad.
Contraseñas
El procedimiento de los atacantes resulta tan efectivo como sencillo: envían un correo o SMS fraudulento que redirige a una página falsa. Una vez allí, la víctima introduce sus datos, mientras el criminal replica esa información en la web oficial, que a su vez envía el código de acceso al verdadero usuario.
Convencido de estar en el sitio correcto, este introduce el código en la página fraudulenta, entregándoselo directamente al atacante, quien lo usa para entrar en la cuenta legítima y modificar sus credenciales.
'Pishing'
Ante este nuevo escenario bélico dentro del mundo digital, los expertos coinciden en que no existe un sistema infalible. Mientras las contraseñas pueden reforzarse con gestores que detectan páginas falsas y autocompletan solo en sitios seguros, los códigos de un solo uso dependen de la capacidad del usuario para identificar el engaño.
La recomendación más repetida es la “desconfianza activa”: revisar siempre la dirección web, ignorar mensajes inesperados y nunca compartir códigos de verificación.