Roku está habilitando la autenticación de dos factores (2FA) para sus usuarios después de dos importantes violaciones de seguridad recientemente.
En dos incidentes se filtraron datos de clientes: el primero en marzo, cuando se encontraron 15.000 cuentas a la venta en la web oscura, lo que permitía a quienes tenían acceso a ellas comprar suscripciones con datos de pago almacenados allí.
Luego, en abril de 2024, Roku sufrió otro ciberataque que afectó a más de medio millón de usuarios. Las cuentas fueron atacadas utilizando el método de relleno de credenciales, donde los piratas informáticos intentan forzar cuentas utilizando credenciales obtenidas en otras infracciones, asumiendo que los usuarios han reutilizado los mismos nombres de usuario y contraseñas para sus cuentas de Roku.
Este último incidente obligó a los usuarios afectados a cambiar las contraseñas de sus cuentas de Roku. Pero ahora, el servicio de transmisión ha hecho que la autenticación de dos factores sea obligatoria para todos los usuarios. El cambio ya está ocurriendo, los usuarios han sido notificados por correo electrónico para configurarlo.
2FA generalmente requiere ingresar un código urgente, también conocido como contraseña única basada en tiempo (TOTP), después de iniciar sesión con su nombre de usuario y contraseña. Agrega una capa adicional de seguridad para garantizar que sea realmente el usuario, y no un pirata informático, el que intenta acceder a su cuenta.
TOTP generalmente se envía a su dispositivo móvil a través de un mensaje de texto SMS o mediante una aplicación de autenticación dedicada. Estos generan un conjunto de códigos que se actualizan constantemente para cada cuenta habilitada para 2FA. El código debe ingresarse en la página de inicio de sesión correspondiente antes de cambiar a un nuevo código.
Para las organizaciones que buscan aumentar aún más la seguridad, se pueden usar llaves de seguridad físicas, que realizan la misma tarea pero reducen el riesgo de ser pirateadas usando un teléfono para generar códigos.
A pesar de la protección adicional, 2FA (y la autenticación multifactor (MFA)) no es invulnerable. Por ejemplo, los SMS se consideran el método más seguro de entrega de códigos 2FA, ya que los ciberdelincuentes pueden clonar números de teléfono en estafas de intercambio de SIM, lo que les permite leer cada mensaje que recibe.
Los ciberdelincuentes pueden bombardear a los usuarios con los llamados ataques de fatiga MFA, en los que se les pide que autentiquen una sesión ilegítima y luego se les permite detener las notificaciones. Estos ataques se basan en métodos de autenticación que solicitan al usuario que confirme o rechace un intento de inicio de sesión sin tener que ingresar ningún código.
También se ha informado que los piratas informáticos roban cookies de sesión de usuarios que ya han autenticado a sus usuarios con MFA, lo que significa que no necesitan acceder a los códigos para iniciar sesión en una cuenta.