Creíamos haber resuelto el engorro de las contraseñas con los códigos de un solo uso: ahora estamos descubriendo la realidad

Publicado: agosto 17, 2025, 12:23 pm

Las contraseñas son un engorro. Recordarlas es una misión casi imposible, crear versiones seguras hace que tengamos que estar introduciendo varios símbolos especiales, y para colmo, vemos filtraciones de estos datos cada cierto tiempo. Por eso, las diferentes empresas tecnológicas buscan una solución definitiva para acabar con ellas. Una de las alternativas que va ganando más popularidad es aparentemente sencilla y elegante: introducir el email o el teléfono y recibir un código de un solo uso. Pero no es completamente seguro.

Las grandes empresas adoptan el ‘magic link’. El inicio de sesión sin contraseña ha sido adoptado por diferentes empresas como por ejemplo Microsoft.  La promesa es clara: eliminar la fricción y el riesgo de las contraseñas reutilizadas en diferentes servicios. Sin embargo, lo que parece una solución ingeniosa se está convirtiendo en una pesadilla de seguridad, un sistema que, en ciertos escenarios, puede ser incluso peor que las denostadas contraseñas, como reconoce el experto Daniel Huang. Y no es una amenaza teórica; ya se está explotando activamente.

Introducir el email es el primer paso del engaño. A priori parece un sistema simple e inocuo, y ya como usuarios nos estamos acostumbrando a que si recibimos un código hay que usarlo. Pero, ¿dónde? Aquí es donde un ciberdelincuente encuentra un nuevo filón para ataques de phishing indebidamente efectivos.

Todo comienza recibiendo un email o un SMS de phishing muy convincente. Puede ser una oferta irresistible o un aviso de seguridad que llama mucho la atención que se acompaña del acceso a una página web, que es un clon perfecto a la original por la que se están haciendo pasar en el SMS. Aquí es donde piden que se introduzca el teléfono o el email, y ya solo queda esperar el siguiente paso.

Detrás de la pantalla es donde se encuentra el atacante. Donde no se le ve, el hacker introduce el email o el teléfono en la página web legítima, lo que hace que el servicio real envíe un código de seis dígitos completamente válido a la bandeja de entrada o a la sección de mensajes del móvil. Y aquí es donde la web falsa pide que se introduzca el código de verificación que se ha recibido, aprovechándose de las veces anteriores donde haciendo esto no había pasado absolutamente nada.

Aquí el daño está hecho. El código es recibido por el atacante que lo va a usar en la web real, iniciando sesión y cambiando toda la información de inicio de sesión como correo electrónico o teléfono para apoderarse de una cuenta. Y los sistemas de defensa sirven de poco, puesto que un gestor de contraseñas no puede autocompletar nada y como el código es legítimo y enviado desde un servicio real los filtros de spam tampoco saltarán.

Un problema de seguridad que ya se ha explotado. Esto no se queda solo en la teoría, sino que se ha puesto en práctica. Uno de los ejemplos más notorios es el sistema de inicio de sesión de Microsoft para las cuentas de Minecraft, como se muestra en los foros de la compañía o en hilos de Reddit. Muchos jugadores apuntan a como perdieron el acceso a la cuenta de la noche a la mañana por este tipo de estafa.

El patrón era siempre el mismo: recibían un correo electrónico con alguna excusa sobre su cuenta de Mojang y el seguir los pasos entregaban en bandeja de plata el código de acceso a los ladrones.

En Xataka

Qué es el fraude del CEO y por qué no hay que fiarse ni de tu jefe: así engañan los ciberdelicuentes y logran saltarse los filtros antispam

Código de acceso o contraseñas clásicas. Esta es la gran decisión que se debe tomar ahora por parte de las grandes empresas. Y una de las soluciones que garantizaría tener una contraseña segura es un buen gestor de contraseñas. En el caso de que sea de calidad, las credenciales de acceso se vinculan a una URL específica, y es por ello que si se accederá a una web ilegítima, la dirección web no coincidirá y no se autorrellenará.

La mejor defensa es el sentido común. Con ambos sistemas de acceso no se logra un 100% de seguridad. En el pasado hemos visto filtraciones de contraseñas muy importantes, como los hackers publicaban archivos muy extensos con credenciales, las estafas de robo que se han reportado o las estrategias que se siguen para hacer el robo de credenciales, incluso en Chrome. Es por ello que como consejos de seguridad lo más importante es revisar direcciones web y desconfiar de todo lo que se pueda salir de lo normal.

Imágenes | Brett Jordan Towfiqu barbhuiya

En Xataka | Fraude del sí: qué es y por qué no es recomendable con un «Sí» cuando te llama un número desconocido

(function() {
window._JS_MODULES = window._JS_MODULES || {};
var headElement = document.getElementsByTagName(‘head’)[0];
if (_JS_MODULES.instagram) {
var instagramScript = document.createElement(‘script’);
instagramScript.src = ‘https://platform.instagram.com/en_US/embeds.js’;
instagramScript.async = true;
instagramScript.defer = true;
headElement.appendChild(instagramScript);
}
})();

–
La noticia

Creíamos haber resuelto el engorro de las contraseñas con los códigos de un solo uso: ahora estamos descubriendo la realidad

fue publicada originalmente en

Xataka

por
José A. Lizana

.