Búsqueda de las grietas en el muro: Cómo eluden las estafas modernas la MFA
En mi blog anterior mencioné el importante papel que desempeña la autenticación multifactorial (MFA) en la seguridad del acceso a los servicios empresariales y para el consumidor. También establecimos que, aunque la autenticación multifactorial (MFA) aumenta la seguridad de la autenticación y disminuye el riesgo de robo de cuentas, se puede eludir y, de hecho, se está haciendo.
En este blog describiré las técnicas más frecuentes que se utilizan para eludir los factores de MFA. También explicaré cómo las diferentes técnicas de MFA presentan diferentes riesgos para poner en peligro las credenciales de los usuarios, lo que puede dar lugar a robos de cuentas.
Robo de contraseñas de un solo uso
Uno de los métodos de autenticación de dos factores más comunes utiliza "algo que tiene", como su dispositivo móvil, dispositivo de autenticación de hardware o cuenta de correo electrónico. Estos dispositivos y cuentas permiten el uso de una contraseña de un solo uso (OTP) como factor de autenticación secundario, que se genera durante un periodo limitado y sirve como factor adicional en el proceso de autenticación.
Aunque el uso de una OTP aumenta la estrategia de seguridad de la cuenta de un usuario, no es a prueba de balas para los ataques que vulneran y eluden este método de autenticación. Un buen ejemplo de técnicas que eluden el uso de una OTP como otro factor de autenticación se puede ver en las estafas de phishing. En dichas estafas, una vez que la víctima cae en el sitio web de phishing, el primer paso será robar sus credenciales o "lo que conoce". Una vez conseguido esto, la estafa se iniciará entre bambalinas sin que la víctima lo sepa. Un proceso de autenticación directa en el sitio web o el portal de inicio de sesión al que va destinado el ataque mediante las credenciales robadas iniciará la solicitud de una OTP que llevará a que se envíe un token al dispositivo de la víctima.
Figura: Ejemplo de un sitio web de phishing que roba tokens de OTP basadas en hardware
La víctima ahora está conectada al sitio web de phishing y no es consciente de que se trata de una estafa. Proporcionará voluntariamente su token de OTP al sitio web de phishing, lo que ofrece a los estafadores la capacidad de robar su cuenta.
Un ejemplo de estafa de phishing de gran volumen que elude la OTP fue detectada recientemente por el equipo de investigación de amenazas de Akamai. La campaña incluyó a ocho bancos del Reino Unido que fueron víctimas de más de 7000 dominios de phishing. En esta campaña se llevó a cabo una operación de administración de back-end, lo que llevó a la activación manual de un token de OTP cada vez que este paso era necesario para el flujo de acceso del banco al que iba dirigido el ataque.
Intercambio de SIM
Otra técnica, que no es tan frecuente como el robo de una OTP, es el intercambio de SIM de teléfonos móviles, también conocido como secuestro de SIM. Se utiliza principalmente en estafas más sofisticadas e individualizadas. La idea que subyace a esta técnica es la de ejecutar una estafa que da como resultado el intercambio de la propiedad del número de teléfono asociado con las credenciales de inicio de sesión del usuario a la SIM del estafador. Un intercambio correcto permitirá a los estafadores interceptar toda la comunicación y autenticación (por ejemplo, llamadas de voz o mensajes SMS) para que se entreguen al número de teléfono cambiado.
Para que una estafa de intercambio de SIM tenga éxito, el proveedor de servicios debe identificar a los estafadores como el propietario del número de teléfono para solicitar un cambio en la propiedad. Este tipo de cambio en la propiedad probablemente requerirá que los estafadores conozcan previamente los datos personales del propietario del número de teléfono al que se dirige el ataque, como el número de la seguridad social, la fecha de nacimiento o la dirección.
La Agencia Nacional Anticrimen (NCA, por sus siglas en inglés) del Reino Unido ha informado de un buen ejemplo: una reciente campaña de ataque de intercambio de SIM dirigida a famosos, músicos y personas influyentes en las redes sociales. La NCA, en colaboración con otras agencias, descubrió una red de delincuentes en el Reino Unido que trabajaban juntos para acceder a los números de teléfono de las víctimas y hacerse con el control de sus aplicaciones o cuentas cambiando sus contraseñas.
Omisión de la MFA mediante las API de autenticación heredadas
Otro método para evitar la MFA es entrar a través de la puerta trasera cuando la puerta delantera está muy protegida. En muchos casos, durante el proceso de actualización de las soluciones de autenticación y adopción de la autenticación MFA, las soluciones de acceso heredadas podrían permanecer intactas deliberadamente (o accidentalmente) para garantizar la continuidad del negocio de las aplicaciones que son incompatibles con las soluciones de MFA.
Los estafadores que desean evitar los desafíos asociados al robo de tokens de OTP encontrarán API heredadas y las vulnerarán lanzando ataques como campañas de abuso de credenciales. Estas campañas suelen aprovechar las credenciales que se filtraron como resultado de las filtraciones de datos, lo que ofrece a los atacantes una oportunidad sencilla de recopilar cuentas vulneradas mediante la difusión de esas credenciales por Internet para buscar cuentas a las que se accede con las mismas credenciales.
Omisión de la autenticación de notificaciones push
En los últimos años, se ha adoptado la tecnología móvil de notificaciones push con la promesa de hacer que la experiencia de autenticación MFA sea más fácil para los usuarios y más segura. El uso de mecanismos de notificación push en dispositivos móviles mejora la experiencia general del usuario y, como resultado, aumenta la tasa de adopción de tecnologías MFA. Sin embargo, el uso de la MFA con notificaciones push móviles no evita las estafas de phishing que son similares a la situación de robo de tokens de OTP. Las víctimas que aprueben notificaciones push fraudulentas creadas con credenciales robadas proporcionarán a los estafadores acceso completo a sus cuentas.
Además, la implementación de la autenticación de notificaciones push es una notificación basada en gestos en dispositivos móviles que solo requiere una interacción mínima por parte del usuario, sin necesidad de copiar un código de OTP en el sitio web al que se accede, lo que crea aún más oportunidades para vulnerar el proceso de autenticación de usuarios. El mejor ejemplo de esto son los ataques de Credential Stuffing , en los que las credenciales en peligro proporcionan a los atacantes la capacidad de lanzar un ataque en todo Internet para buscar cuentas a las que se accede con las mismas credenciales. En estos ataques a sitios web que incluyen la notificación push como autenticación secundaria, una autenticación correcta con las credenciales robadas dará como resultado el envío de una notificación push a dicho usuario. Los usuarios que, por error o por la fuerza de la costumbre, aprueben la entrega de dichas notificaciones a su teléfono móvil verán vulneradas las credenciales de su cuenta, sin ni siquiera participar directamente en una estafa.
Un ejemplo de ataque que abusó de las limitaciones de las notificaciones push fue el ataque a Twitter en 2020, cuando las cuentas VPN de los empleados de Twitter fueron vulneradas como resultado de ataques de ingeniería social. Una vez que los hackers tuvieron acceso a las aplicaciones internas, pudieron robar las cuentas de Twitter de políticos, celebridades y empresarios, así como de las cuentas de varias empresas de criptomonedas.
Según un informe que describe el incidente de seguridad de Twitter de forma detallada, "la MFA es fundamental, pero no todos los métodos de MFA se crean de la misma manera. Twitter utilizó la MFA basada en aplicaciones, que enviaba una solicitud de autenticación al smartphone de un empleado. Esta es una forma común de MFA, pero se puede eludir. Durante el ataque de Twitter, los hackers eludieron la MFA al convencer a los empleados de Twitter de que autenticaran la MFA basada en aplicaciones durante el inicio de sesión."
Sellado de las grietas
El uso de soluciones de MFA aumenta la estrategia de seguridad de los usuarios y las organizaciones, pero es importante reconocer que algunas tecnologías de MFA no protegen totalmente a los usuarios de estafas que ponen en peligro sus cuentas. Esta es una mala noticia para las personas, pero puede tener graves consecuencias para las organizaciones. Lo único que se necesita es que un empleado acepte una notificación push de MFA ilegítima para que el atacante tenga acceso completo a la cuenta.
Para reducir el riesgo de ataques que den lugar a cuentas vulneradas, recomiendo la adopción de una estrategia de autenticación de seguridad multicapa que dificulte el proceso de autenticación y proteja las cuentas de ataques de robo.
La estrategia de autenticación debe tener en cuenta las capacidades defensivas en ambos extremos: el cliente y el servidor. En el front-end de autenticación del cliente, la estrategia debe adoptar una autenticación que garantice que el dispositivo que se está conectando se valide a través de un cifrado seguro, eliminando la opción de que se utilicen credenciales y tokens robados desde dispositivos no autenticados.
El protocolo FIDO2 es una iniciativa que aborda esos desafíos y regula una tecnología que elimina los riesgos de phishing, todas las formas de robo de contraseñas y ataques de repetición, al tiempo que facilita el uso y la escalabilidad. La tecnología que subyace al protocolo FIDO2 garantiza el uso de credenciales de inicio de sesión criptográficas que son únicas en cada sitio web, que nunca salen del dispositivo del usuario y que no se almacenan en ningún servidor. FIDO2 ya es compatible con los principales navegadores y se puede integrar mediante sencillas llamadas a la API de JavaScript desde esos navegadores.
En el lado del servidor, la tecnología que protege las aplicaciones web de accesos anómalos, ataques de abuso de credenciales apabullantes y robos de cuentas puede ayudar como capa defensiva complementaria a la autenticación del usuario y reducir el riesgo de que las cuentas se vulneren.
La autenticación es una capacidad fundamental para la seguridad y la innovación en la tecnología asociada, y seguirá prosperando. Al mismo tiempo, los atacantes seguirán buscando las grietas en el muro, buscando formas de vulnerar los servicios de autenticación y eludirlos. Depende de nosotros sellar esas grietas para mantener la seguridad impermeable y mantenerse un paso por delante de los hackers adoptando la arquitectura tecnológica y las soluciones que reducirán las posibilidades de estar expuestos a amenazas emergentes.
Más información sobre la solución de MFA de Akamai en https://www.akamai.com/es/products/akamai-mfa.
