Tokens de Autenticación Suave

🔑 ¿Qué es un Token Suave?

Un token de autenticación suave (Soft Token) es una contraseña de un solo uso (OTP) que NO se genera en un dispositivo hardware seguro (como las llaves U2F o tarjetas inteligentes).
En su lugar, se genera en software o se envía por canales no especializados, como:

  • SMS

  • Correo electrónico

  • Aplicaciones móviles de autenticación

📌 Tipos de tokens suaves y ejemplos reales

1️⃣ OTP por SMS o Correo electrónico

➡️ Ejemplo clásico:
Cuando inicias sesión en un servicio (ejemplo: Gmail) y te envían un código a tu móvil.

➡️ ¿Cómo funciona?

  • El servidor genera un OTP.

  • Lo envía a tu número de teléfono o correo.

  • Tú lo introduces para completar la autenticación.

➡️ Problemas (muy importante como Blue Team):

  • No se considera propiedad → NO es realmente MFA.

  • Vulnerable a:

    • Interceptación de SMS → Ejemplo: Ataques de SIM swapping.

    • Intercepción de correo → Ejemplo: Cuenta de correo comprometida.

    • Malware en el dispositivo.

2️⃣ OTP por Aplicación de autenticación (TOTP)

➡️ Ejemplo clásico:
Google Authenticator, Microsoft Authenticator, Authy.

➡️ ¿Cómo funciona?

  • El servidor y tu app comparten una clave secreta (registrada vía QR).

  • La app genera un código que cambia cada 30 segundos.

  • Introduces el código en el servicio → autenticación completada.

➡️ Ventajas:

  • Mucho más seguro que SMS/correo → no se transmite por la red.

  • Solo visible desde tu app.

➡️ Desventajas:

  • Si el dispositivo se infecta (ejemplo: malware en Android) → puede ser robado.

  • Si pierdes el móvil → debes tener backup de las claves (esto es muy importante a nivel de gestión en la empresa).

📚 Analogía para entenderlo mejor

"Es como que el banco te mande un código en una carta (SMS/email) o que tú mismo tengas un reloj que genera códigos que solo tú puedes ver (App de autenticación)."

  • SMS/Email → Carta → Alguien puede interceptarla en el camino.

  • App → Reloj personal → Solo tú puedes verlo, salvo que te roben el reloj.

🟪 Purple Team — Ataques y Defensa

🔴 Red Team (cómo se podría atacar)

  • Interceptación de SMS (ejemplo: SS7 attacks, SIM swapping).

  • Phishing → Crear un portal que pida el OTP justo después de obtener la contraseña.

  • Malware en el dispositivo → Capturar OTP de apps.

  • Acceso a correo electrónico → Leer OTP enviados.

🟦 Blue Team (cómo se debe defender)

  • No usar nunca SMS/correo como único factor en cuentas críticas.

  • Promover el uso de aplicaciones de autenticación → TOTP.

  • Aplicar detección de anomalías → OTP válidos desde localizaciones inesperadas → Alerta.

  • Protección del dispositivo → Anti-malware, PIN, biometría.

🟪 Purple Team (validación y simulación)

  • Simular phishing → Ver si los usuarios caen y dan OTP.

  • Intentar interceptar OTP en pruebas controladas.

  • Simular pérdida de dispositivos → Verificar el proceso de revocación y recuperación.

  • Revisar si las políticas bloquean métodos débiles (ejemplo: permitir SMS).

Resumen mental 


TOKEN DE AUTENTICACIÓN SUAVE 

DEFINICIÓN: - OTP sin dispositivo hardware seguro → Enviado o generado en software. 

TIPOS

1. SMS/Email → Muy vulnerables → NO son propiedad → Verificación en dos pasos. 

2. Apps (TOTP) → Más seguros → claves no transmitidas → Mejor opción como token suave. 

RIESGOS

- Interceptación (red, malware, phishing). 

- Robo físico/dispositivo infectado. 

RECOMENDACIONES 

Blue Team: - NO usar SMS para cuentas críticas. - Priorizar apps TOTP. - Validar localización, dispositivo → detectar fraudes. - Gestionar recuperación → Backup de claves. 

PURPLE TEAM: - Simular ataques → phishing, malware, pérdida de dispositivo. - Revisar políticas → No aceptar métodos débiles.

🎯 Conclusión para el Purple Team

Los tokens suaves son mejores que nada, pero NO sustituyen a un factor fuerte como FIDO U2F o certificados en tarjeta inteligente.
Son la opción mínima aceptable para MFA, y deben complementarse siempre con medidas de seguridad:

  • Protección del dispositivo.

  • Revisión de políticas.

  • Simulación constante de ataques → Asegurar que no son el eslabón débil.

Mystara - Mind Hacker - Purple TeamBlog
Todos los derechos reservados 2024
Creado con Webnode Cookies
¡Crea tu página web gratis! Esta página web fue creada con Webnode. Crea tu propia web gratis hoy mismo! Comenzar
Utilizamos cookies para permitir un correcto funcionamiento y seguro en nuestra página web, y para ofrecer la mejor experiencia posible al usuario.

Configuración avanzada

Puedes personalizar tus preferencias de cookies aquí. Habilita o deshabilita las siguientes categorías y guarda tu selección.