Aunque para ello el usuario tenga qué reenviar su código, siendo víctima de una técnica similar al phishing.

A veces creemos que sólo las compañías que ofrecen servicios en internet tienen la completa responsabilidad de mantenernos protegidos, y lo intentan. Ofrecen métodos de protección contra accesos indeseados a nuestras cuentas, como la verificación en dos pasos, usada por algunos, mientras que otros jamás han atendido este método de protección.

Consiste en enviar un mensaje que contiene un código al número de teléfono registrado en determinado servicio web, solicitado cuando el usuario olvida la contraseña y quiere cambiarla o accede desde una computadora con una dirección IP poco familiar. El proceso es bastante sencillo y, a menos que pierdas tu teléfono, podría ser el método de protección más efectivo, pero hay quienes están en desacuerdo.

Según informa Phys.org, un equipo de investigadores liderado por el profesor de la Escuela de Ingeniería de Tandon, Nueva York, Nasir Memon, experto en materia de ciberseguridad, acompañado de los estudiantes de doctorado Hossein Siadati y Toan Nguyen, aseguran que, si bien un ingeniero en informática no podría 'romper' el método de verificación en dos pasos, un ingeniero social podría hacerlo preguntando por el código, tal cual.

Para llegar a esta premisa, Memon y compañía establecieron un escenario donde un hacker sabe el número de teléfono de su víctima y solicita el envío de un mensaje de texto para reestablecer la contraseña o acceder a una determinada cuenta. Al momento, la persona podría ignorar el mensaje, pero si luego el atacante envía otro mensaje para solicitar su clave aplicando la técnica de phishing, la víctima ignora lo que sucede y reenvía su código.

En una prueba realizada a 20 personas, el 25% accedió a la solicitud de reenvío del código de verificación en dos pasos, muchos de ellos ignorando que el proceso de autenticación pudiera comprometer su cuenta, mientras que otros no lograron discernir entre un mensaje confiable y uno malicioso, ya que no pudieron identificar la fuente de procedencia de ambos mensajes.

Ante esto, Memo cree conveniente que las compañías que ofrecen este método de protección apliquen la táctica que usan contra el phishing para que los usuarios de sus servicios puedan verificar la procedencia del mensaje que reciben. Por otra parte, estos deben entender que un método de protección como éste por sí mismo es seguro, pero también deben poner de su parte.

Ya en otro estudio donde encuestaron por correo a 100 personas, se dieron cuenta que el 30% de los usuarios ignoraban que el método de autenticación en dos factores podría verse comprometido, mientras que el 60% muy pocas veces revisa la fuente de procedencia de los mensajes de verificación que recibe. El 20% restante dice que sólo enviaría el código de verificación si alguna compañía —en el caso de las pruebas, Google— la solicitara.

A decir verdad, pocas veces se ha visto que un atacante pueda ingresar a la cuenta de alguien vulnerando el método de verificación en dos pasos y ahora nos damos cuenta que no se requieren conocimientos de informática para hacerlo. Muchas personas ignoran el propósito de dicho método y por ello son propensos a caer en la trampa de un estafador que ni siquiera puede considerarse per se un "hacker".

https://www.fayerwayer.com/2016/02/hackers-podrian-obtener-tu-codigo-de-verificacion-en-dos-pasos-sin-darte-cuenta/