Los códigos de acceso de un solo uso (OTP) son una parte fundamental de la autenticación de dos factores (2FA) y la autenticación multifactor (MFA) tradicionales.

Al iniciar sesión en una cuenta o verificar una transacción, los recibirá por correo electrónico, SMS o aplicaciones de autenticación para confirmar su identidad.

Ahora, los ciberdelincuentes han encontrado una forma de eludir estas protecciones mediante el uso de bots de OTP.

¿Qué es un bot de OTP?

Un bot de OTP es un programa de software automatizado que intercepta o roba los códigos de acceso de un solo uso utilizados para verificar su identidad. El objetivo es obtener el control de su cuenta en lo que se conoce como un ataque de apropiación de cuentas (o ATO).

Los ciberdelincuentes pueden comprar ataques de bots de OTP en mercados clandestinos, a menudo a través de Telegram, por tan solo $10 por ataque. Este enfoque de bajo costo y escalable permite a los atacantes dirigirse a muchas personas a la vez con un esfuerzo mínimo.

Cómo funcionan los bots de OTP

Los bots de OTP están diseñados para aprovechar el tiempo que transcurre entre el momento en que usted recibe una contraseña de un solo uso y el momento en que la ingresa en la aplicación o el sitio web. Este intervalo suele ser de menos de un minuto.

Los ciberdelincuentes suelen interceptar el código de tres maneras:

Apropiación de cuentas mediante bots de OTP a través de ingeniería social

    El atacante utiliza credenciales robadas o filtradas para activar el paso de OTP en un sitio legítimo. Luego, un bot se comunica con usted por SMS o llamada telefónica, utilizando un script diseñado para generar urgencia (por ejemplo, haciéndose pasar por el equipo de fraude de un banco). Si comparte la OTP, el bot se la transmite al atacante en tiempo real, lo que le permite acceder a su cuenta. A continuación, el atacante puede cambiar las credenciales de inicio de sesión e impedirle el acceso.

    Apropiación de cuentas mediante bots de OTP a través de la interceptación

      Al utilizar credenciales robadas para activar la OTP, el bot intenta interceptar el código antes de que llegue a usted. Los métodos comunes incluyen:

      • Ataque de duplicación de SIM: el atacante convence a un operador de telefonía móvil para que transfiera su número de teléfono a una tarjeta SIM que controla, de modo que los códigos SMS se le entreguen directamente a él. 
      • Explotación de API: el bot se dirige a las API de autenticación con un nivel de seguridad bajo para capturar las OTP a medida que se generan. 
      • Fuerza bruta: el atacante prueba todas las combinaciones posibles de OTP numéricas cortas, lo cual es posible cuando el sitio web o la aplicación que usted está utilizando no ha establecido un límite para las solicitudes repetidas.

      Apropiación de cuentas mediante bots de OTP a través de un ataque de retransmisión

        Esta variante no depende de credenciales robadas. En su lugar, lo engaña para que le proporcione al atacante tanto sus datos de inicio de sesión como su OTP. Usted ingresa a un sitio web falso que se parece al real e introduce sus credenciales. El bot utiliza de inmediato esas credenciales para iniciar sesión en el sitio web real, lo que activa el envío de una OTP a su teléfono. Luego, el sitio web falso le solicita que ingrese el código, el cual el bot retransmite al sitio web real en tiempo real. Esto permite que el atacante complete el inicio de sesión antes de que el código expire.

        Al igual que con las otras variantes, el atacante puede cambiar las credenciales y bloquear su acceso a la cuenta.

        Cómo puede afectar un bot de OTP a su empresa

        Es probable que la facilidad para obtener servicios de bots de OTP aumente los ataques a las empresas. Aunque la banca y el comercio electrónico son objetivos comunes, cualquier sector puede verse afectado. Las pequeñas y medianas empresas (PyMEs) suelen ser el blanco con mayor frecuencia(nueva ventana).

        Las pérdidas financieras pueden ser significativas, pero no son el único riesgo que debe considerar.

        Por muy perjudiciales que puedan ser las pérdidas financieras para una organización, esa no es la única pérdida que debería preocupar a los propietarios de empresas.

        Pérdida de la confianza de los clientes

        La confianza de los clientes suele disminuir tras una vulneración de datos(nueva ventana). Un estudio de 2024 realizado por Vercara(nueva ventana) reveló que el 58 % de los consumidores consideran que las marcas afectadas no son confiables, y el 70 % dejaría de comprar en una marca tras un incidente de seguridad.

        Riesgos de cumplimiento regulatorio

        Aunque no se roben fondos, su empresa puede enfrentarse a multas por no cumplir con los requisitos de protección de datos. Por ejemplo, el Reglamento General de Protección de Datos (GDPR) se aplica a cualquier organización que procese los datos personales de residentes de la UE, independientemente de su ubicación o del tamaño de la empresa. Las sanciones por incumplimiento pueden ser sustanciales.

        Cómo proteger su empresa de los bots de OTP

        Dado que el error humano es lo más difícil de prevenir, las empresas deben implementar la mayor cantidad posible de medidas de seguridad técnicas. Estas podrían incluir:

        Limitación y regulación de velocidad

        Limitar la cantidad de solicitudes de códigos de acceso de un solo uso (OTP) que se pueden realizar desde una misma dirección IP, número de teléfono o cuenta dentro de un período determinado. Esto evita que los atacantes saturen sus sistemas con solicitudes automatizadas.

        CAPTCHA y análisis de comportamiento

        Utilizar desafíos CAPTCHA cuando aparezca actividad sospechosa y aplicar análisis de comportamiento para detectar patrones no humanos, como el envío rápido de formularios o movimientos de mouse poco realistas.

        Huella digital del dispositivo

        Realizar un seguimiento de las características de los dispositivos para identificar a los infractores recurrentes y marcar los dispositivos que realizan múltiples solicitudes de OTP en diferentes cuentas.

        Autenticación multifactor más allá de OTP

        Agregue métodos de autenticación más sólidos, como llaves de seguridad de hardware, verificación biométrica o notificaciones push, para reducir la dependencia exclusiva de OTP.

        Fortalecimiento de la seguridad de las API

        Proteja sus API de OTP al requerir autenticación, firmar solicitudes, validar las entradas y utilizar canales de comunicación seguros para evitar la interceptación o manipulación.

        Monitoreo y detección

        Monitoree los patrones de uso para identificar comportamientos inusuales que puedan indicar actividad de bots. Utilice alertas en tiempo real para detectar picos en las solicitudes de OTP o accesos geográficos inesperados. Revise los registros periódicamente para detectar amenazas de forma temprana.

        Cómo protegerse de los bots de OTP

        Los bots de OTP pueden ser peligrosos, pero usted puede tomar medidas sencillas para proteger sus cuentas.

        Use contraseñas únicas y seguras o claves de acceso

        Use un gestor de contraseñas empresarial para generar y almacenar credenciales únicas para cada cuenta. Si es posible, utilice claves de acceso, las cuales eliminan la necesidad de contraseñas de un solo uso (OTP).

        Use una llave de seguridad de hardware

        Las llaves de seguridad físicas, como YubiKey, ofrecen una protección sólida contra ataques automatizados porque requieren acceso físico a su dispositivo.

        Esté atento a los intentos de suplantación

        Tenga precaución con los mensajes no solicitados que soliciten códigos de verificación. Un código OTP está diseñado para ser ingresado en un sitio web o aplicación, no para ser compartido con nadie.

        Monitoree la actividad de su cuenta

        Revise el historial de inicio de sesión y los ajustes de la cuenta periódicamente para detectar actividades inusuales.

        Use una app de autenticación en lugar de SMS

        Las contraseñas de un solo uso basadas en el tiempo (TOTP) —códigos generados por una app de autenticación— son más seguras que los OTP basados en SMS, los cuales se pueden interceptar a través de ataques de duplicación de tarjeta SIM (SIM swapping).

        Una buena higiene de contraseñas es su primera línea de defensa

        Combinar medidas de seguridad técnicas sólidas con una buena higiene de credenciales contribuye en gran medida a mantener alejados a los atacantes.

        Un gestor de contraseñas empresarial es una de las herramientas más sencillas y eficaces que puede utilizar —garantiza que los empleados no reutilicen contraseñas débiles en varias cuentas, que es exactamente el tipo de vulnerabilidad que los bots de OTP están diseñados para explotar.

        Combínelo con métodos de autenticación resistentes a la suplantación y una cultura de concientización sobre la seguridad, y convertirá a su empresa en un objetivo mucho más difícil.