Interceptacion de OTP en moviles
¿Qué es Interceptacion de OTP en moviles?
Interceptacion de OTP en movilesAtaques que capturan las contrasenas de un solo uso entregadas a un telefono, debilitando la autenticacion en dos factores basada en SMS o apps.
Los OTP entregados por SMS, voz o push son interceptados por varios canales: abuso de senalizacion SS7/Diameter para reencaminar SMS hacia equipos del atacante, SIM swapping para clonar el numero de la victima, troyanos bancarios Android que leen SMS o contenido de pantalla mediante el servicio de Accesibilidad, listeners de notificaciones maliciosos en un telefono comprometido y servicios de relay de OTP (por ejemplo bots de Telegram usados por bandas de fraude). Las defensas incluyen pasar del OTP por SMS a autenticacion resistente al phishing (llaves FIDO2, passkeys o autenticadores de plataforma), exigir bloqueos de portabilidad con el operador, restringir el uso de Accesibilidad en Android y detectar anomalias de velocidad y de vinculacion de dispositivo a nivel de aplicacion.
● Ejemplos
- 01
Investigadores documentaron ataques SS7 que redirigian OTP bancarios por SMS a numeros del atacante y vaciaban cuentas en Alemania.
- 02
Un troyano Android con permisos de Accesibilidad lee las notificaciones de OTP por SMS y las reenvia por Telegram en tiempo real.
● Preguntas frecuentes
¿Qué es Interceptacion de OTP en moviles?
Ataques que capturan las contrasenas de un solo uso entregadas a un telefono, debilitando la autenticacion en dos factores basada en SMS o apps. Pertenece a la categoría de Seguridad móvil en ciberseguridad.
¿Qué significa Interceptacion de OTP en moviles?
Ataques que capturan las contrasenas de un solo uso entregadas a un telefono, debilitando la autenticacion en dos factores basada en SMS o apps.
¿Cómo funciona Interceptacion de OTP en moviles?
Los OTP entregados por SMS, voz o push son interceptados por varios canales: abuso de senalizacion SS7/Diameter para reencaminar SMS hacia equipos del atacante, SIM swapping para clonar el numero de la victima, troyanos bancarios Android que leen SMS o contenido de pantalla mediante el servicio de Accesibilidad, listeners de notificaciones maliciosos en un telefono comprometido y servicios de relay de OTP (por ejemplo bots de Telegram usados por bandas de fraude). Las defensas incluyen pasar del OTP por SMS a autenticacion resistente al phishing (llaves FIDO2, passkeys o autenticadores de plataforma), exigir bloqueos de portabilidad con el operador, restringir el uso de Accesibilidad en Android y detectar anomalias de velocidad y de vinculacion de dispositivo a nivel de aplicacion.
¿Cómo defenderse de Interceptacion de OTP en moviles?
Las defensas contra Interceptacion de OTP en moviles combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Interceptacion de OTP en moviles?
Nombres alternativos comunes: Intercepcion de OTP, Bypass de 2FA en movil.
● Términos relacionados
- attacks№ 1047
Intercambio de SIM (SIM swapping)
Tecnica de fraude en la que un atacante enganha o soborna a un operador movil para transferir el numero de la victima a una SIM que el controla.
- attacks№ 1059
Smishing
Phishing por SMS u otros canales de mensajería móvil que busca engañar a la víctima para que pulse enlaces maliciosos, llame a números fraudulentos o revele datos.
- mobile-security№ 047
Malware para Android
Software malicioso que ataca el sistema operativo Android, distribuido habitualmente mediante APK sideload, droppers en Google Play o tiendas alternativas comprometidas.
- identity-access№ 1155
Contraseña de un solo uso basada en tiempo (TOTP)
Algoritmo de contraseña de un solo uso definido en RFC 6238 que deriva un código a partir de un secreto compartido y la hora actual, renovándose cada 30 segundos.
- identity-access№ 479
Contraseña de un solo uso basada en HMAC (HOTP)
Algoritmo de OTP basado en eventos definido en la RFC 4226 que deriva un código corto a partir de un secreto compartido y un contador monótonamente creciente.
- attacks№ 821
Phishing
Ataque de ingeniería social en el que el atacante se hace pasar por una entidad de confianza para engañar a la víctima y obtener credenciales, dinero o ejecutar malware.