Los códigos de acceso de un solo uso (OTP) son una parte fundamental de la autenticación de dos factores (2FA) y de la autenticación multifactor (MFA) tradicionales.

Si inicias sesión en una cuenta o verificas una transacción, los recibirás por correo electrónico, SMS o aplicaciones de autenticación para confirmar tu identidad.

Ahora, los ciberdelincuentes han encontrado una forma de eludir estas protecciones utilizando bots de OTP.

¿Qué es un bot de OTP?

Un bot de OTP es un programa de software automatizado que intercepta o roba los códigos de acceso de un solo uso que se utilizan para verificar tu identidad. El objetivo es hacerse con el control de tu cuenta en lo que se conoce como un ataque de apropiación de cuenta (o ATO).

Los ciberdelincuentes pueden comprar ataques de bots de OTP en mercados clandestinos, a menudo a través de Telegram, por tan solo 10 $ por ataque. Este enfoque escalable y de bajo coste permite a los atacantes dirigirse a muchas personas a la vez con el mínimo esfuerzo.

Cómo funcionan los bots de OTP

Los bots de OTP están diseñados para aprovechar el tiempo que transcurre entre que recibes una contraseña de un solo uso y la ingresas en la aplicación o el sitio web. Este intervalo suele ser de menos de un minuto.

Los ciberdelincuentes suelen interceptar el código de tres maneras:

Apropiación de cuenta mediante bot de OTP a través de ingeniería social

    El atacante utiliza credenciales robadas o filtradas para activar el paso de OTP en un sitio legítimo. A continuación, un bot se pone en contacto contigo por SMS o llamada telefónica, utilizando un script diseñado para crear urgencia (por ejemplo, haciéndose pasar por el equipo de fraude de un banco). Si compartes la OTP, el bot se la pasa al atacante en tiempo real, lo que le da acceso a tu cuenta. El atacante puede entonces cambiar las credenciales de inicio de sesión e impedirte el acceso.

    Apropiación de cuenta mediante bot de OTP a través de interceptación

      Utilizando credenciales robadas para activar la OTP, el bot intenta interceptar el código antes de que te llegue. Los métodos habituales incluyen:

      • Ataque de duplicado de SIM (SIM swapping): el atacante convence a un operador de telefonía móvil para que transfiera tu número de teléfono a una tarjeta SIM que él controla, de modo que los códigos SMS se le envían directamente a él. 
      • Explotación de API: el bot se dirige a las API de autenticación poco seguras para capturar las OTP a medida que se generan. 
      • Fuerza bruta: el atacante prueba todas las combinaciones posibles de OTP numéricas cortas, lo cual es posible cuando el sitio web o la aplicación que estás usando no ha establecido un límite para las solicitudes repetidas.

      Apropiación de cuenta mediante bot de OTP a través de ataque de retransmisión (relay)

        Esta variante no se basa en credenciales robadas. En su lugar, te engaña para que le des a un atacante tanto tus datos de inicio de sesión como tu OTP. Entras en un sitio web falso que se parece al real e ingresas tus credenciales. El bot utiliza inmediatamente esas credenciales para iniciar sesión en el sitio web real, lo que activa el envío de una OTP a tu teléfono. A continuación, el sitio web falso te pide que ingreses el código, que el bot retransmite al sitio web real en tiempo real. Esto permite al atacante completar el inicio de sesión antes de que el código expire.

        Al igual que con las otras variantes, el atacante puede entonces cambiar las credenciales e impedirte el acceso a tu cuenta.

        Cómo puede afectar un bot de OTP a tu negocio

        La facilidad para obtener servicios de bots de OTP probablemente aumentará los ataques a las empresas. Aunque la banca y el comercio electrónico son objetivos habituales, cualquier sector puede verse afectado. Las pequeñas y medianas empresas (pymes) suelen ser el blanco con más frecuencia(ventana nueva).

        Las pérdidas financieras pueden ser significativas, pero no son el único riesgo que debes tener en cuenta.

        Por muy perjudiciales que puedan ser las pérdidas financieras para una organización, esa no es la única pérdida que debería preocupar a los propietarios de empresas.

        Pérdida de la confianza de los clientes

        La confianza de los clientes suele disminuir después de una filtración de datos(ventana nueva). Un estudio de 2024 realizado por Vercara(ventana nueva) reveló que el 58 % de los consumidores consideran que las marcas afectadas no son de fiar, y el 70 % dejaría de comprar en una marca tras un incidente de seguridad.

        Riesgos de cumplimiento normativo

        Aunque no se roben fondos, tu empresa puede enfrentarse a multas por no cumplir los requisitos de protección de datos. Por ejemplo, el Reglamento General de Protección de Datos (RGPD) se aplica a cualquier organización que procese datos personales de residentes de la UE, independientemente de su ubicación o del tamaño de la empresa. Las sanciones por incumplimiento pueden ser sustanciales.

        Cómo proteger tu negocio de los bots de OTP

        Dado que el error humano es lo más difícil de proteger, las empresas deberían implementar tantas medidas de seguridad técnicas como sea posible. Estas podrían incluir:

        Limitación y regulación de velocidad

        Limita cuántas solicitudes de códigos de acceso de un solo uso (OTP) se pueden realizar desde una sola dirección IP, número de teléfono o cuenta dentro de un período de tiempo establecido. Esto evita que los atacantes saturen tus sistemas con solicitudes automatizadas.

        CAPTCHA y análisis de comportamiento

        Utiliza desafíos CAPTCHA cuando aparezca actividad sospechosa y aplica análisis de comportamiento para detectar patrones no humanos, como el envío rápido de formularios o movimientos de ratón poco realistas.

        Huella digital del dispositivo

        Realiza un seguimiento de las características del dispositivo para identificar a los infractores reincidentes y marcar los dispositivos que realizan múltiples solicitudes de OTP en diferentes cuentas.

        Autenticación multifactor más allá de la OTP

        Añade métodos de autenticación más potentes, como llaves de seguridad físicas, verificación biométrica o notificaciones push, para reducir la dependencia de la OTP por sí sola.

        Reforzamiento de la seguridad de las API

        Protege tus API de OTP requiriendo autenticación, firmando las solicitudes, validando las entradas y utilizando canales de comunicación seguros para evitar la interceptación o la manipulación.

        Monitorización y detección

        Monitoriza los patrones de uso para identificar comportamientos inusuales que puedan indicar actividad de bots. Utiliza alertas en tiempo real para detectar picos en las solicitudes de OTP o accesos geográficos inesperados. Revisa los registros con regularidad para detectar amenazas a tiempo.

        Cómo protegerte de los bots de OTP

        Los bots de OTP pueden ser peligrosos, pero puedes tomar medidas sencillas para proteger tus cuentas.

        Utiliza contraseñas fuertes y únicas o llaves de acceso

        Utiliza un gestor de contraseñas de empresa para generar y almacenar credenciales únicas para cada cuenta. Si es posible, utiliza llaves de acceso, que eliminan la necesidad de usar contraseñas de un solo uso (OTP).

        Utiliza una llave de seguridad física

        Las llaves de seguridad físicas, como YubiKey, ofrecen una sólida protección contra los ataques automatizados porque requieren acceso físico a tu dispositivo.

        Mantente alerta ante los intentos de suplantación

        Ten cuidado con los mensajes no solicitados que piden códigos de verificación. Una OTP está pensada para introducirse en un sitio web o aplicación, no para compartirse con nadie.

        Monitoriza la actividad de tu cuenta

        Comprueba el historial de inicio de sesión y los ajustes de la cuenta con regularidad para detectar actividades inusuales.

        Utiliza una aplicación de autenticación en lugar de SMS

        Las contraseñas de un solo uso basadas en el tiempo (TOTP) (códigos generados por una aplicación de autenticación) son más seguras que las OTP basadas en SMS, que pueden ser interceptadas mediante ataques de duplicación de SIM (SIM swapping).

        Una buena higiene de contraseñas es tu primera línea de defensa

        Combinar unas medidas de seguridad técnicas sólidas con una buena higiene de las credenciales contribuye en gran medida a mantener alejados a los atacantes.

        Un gestor de contraseñas de empresa es una de las herramientas más sencillas y eficaces que puedes utilizar: garantiza que los empleados no reutilicen contraseñas débiles en distintas cuentas, que es exactamente el tipo de vulnerabilidad que los bots de OTP están diseñados para explotar.

        Combínalo con métodos de autenticación resistentes a la suplantación y una cultura de concienciación sobre la seguridad, y harás de tu empresa un objetivo mucho más difícil.