Blog

  1. Te encuentras en:  
  2. Inicio
  3. Blog
  4. Formas en que los atacantes evitan la autenticación multifactor
Formas en que los atacantes evitan la autenticación multifactor

Formas en que los atacantes evitan la autenticación multifactor

Ya sea en el trabajo o para nuestras cuentas personales, siempre que sea posible, deberíamos utilizar la autenticación en múltiples factores. Puede que no sea infalible y tenga sus debilidades, pero lo peor que podemos hacer es limitarnos solamente a las inseguras y obsoletas contraseñas.

También es un buen dique de contención entre una persona engañada y los ingenieros sociales que han perpetrado con éxito un ataque de phishing.

En todo caso, la proliferación de dispositivos móviles que admiten aplicaciones de MFA, ha ayudado a proteger las cuentas de millones de personas.

Por otro lado, ha complicado bastante más la vida a los atacantes, que cada vez necesitan desarrollar nuevos inventos para sortearla.

Los ejemplos más conocidos de MFA implican iniciar sesión con el típico método de nombre de usuario y contraseña, para seguidamente realizar una o más de las siguientes acciones.

  • Insertar una pequeña llave USB.
  • Escribir el código temporal que aparece en una aplicación de autentificación (Google Authenticator, Microsoft Authenticator, Authy, etc.)
  • Hacer clic en el botón de una aplicación móvil, para aprobar un inicio de sesión.
  • Recibir un SMS o un correo electrónico con una clave de confirmación.

Los bancos, mediante sus aplicaciones para el móvil, también avisan de que alguien está intentando hacer una compra en una tienda en línea o, una transferencia, y nos preguntan si deseamos aprobar la transacción.

Y a menos que el villano haya atacado físicamente a una persona para robarle el pendrive o el móvil, es muy difícil que pueda hacer nada al respecto.

Entonces, si es tan segura ¿Cómo pueden eludir los delincuentes la autenticación en múltiples factores?

Como hemos dicho al principio, MFA es una sólida medida de seguridad pero no está fabricada a prueba de balas.

En este sentido, los perpetradores se devanan los sesos para buscar la forma de robarnos, y estafarnos.

Phishing

Las técnicas de ingeniería social son una forma relativamente fácil y eficaz de obtener información confidencial, ya que no requieren de complicados kits de explotación o de malware exótico.

Tampoco de conocimientos técnicos.

  • En la web oscura (y en la clara) se venden herramientas y paquetes que contienen todo lo necesario para engañar a las personas.
    incluso el código fuente para crear páginas de inicio de sesión falsas clavadas a las legítimas.
  • El auge de la inteligencia artificial, facilita la creación de correos electrónicos de phishing, audios, y videos, capaces de engañar a cualquier persona.

El objetivo es que las victimas crean que el correo electrónico, SMS, llamada telefónica, etc., procede de un servicio legitimo, y faciliten a los ciberdelincuentes sus credenciales de inicio de sesión.

Siendo agobiantes y cansinos

Un espabilado que de alguna forma ha conseguido nuestro nombre de usuario y contraseña, seguramente intentará iniciar sesión en cualquier cuenta con estos datos.

Esto generará muchas alertas en nuestro teléfono.

Si nos pilla muy borrachos, distraídos, dormidos, o cansados, podemos darle autorización.

También es posible que nos hartemos de estas notificaciones y para silenciarlas, pulsemos en la opción que no toca

No es precisamente tecnología punta, pero a base de dar por el saco a veces funciona.

Interponiéndose en el medio

Con un poco de morro, pueden obtener una copia de la tarjeta SIM del móvil de la víctima, haciéndose pasar por ella.

Básicamente, con la excusa de que han perdido el dispositivo, se lo han robado, o ha sufrido daños, solicitan una  nueva tarjeta SIM.

Los estafadores pueden contestar a las preguntas de seguridad, ya que antes de intentar la estafa habrán obtenido detalles personales sobre el dueño del dispositivo.

Una vez conseguida, la introducen en su propio teléfono, y se hacen con el control de número de la víctima, cuyo dispositivo queda sin conexión.

Aunque hoy en día, en función de la compañía, hacer eso es bastante difícil.

Por motivos de seguridad, el duplicado de SIM solo se entrega aportando la siguiente documentación:

  • Fotocopia del documento identificativo del titular de la línea.
  • El DNI de la persona autorizada.
  • Rellenar un formulario de autorización con los datos anteriores.
  • El trámite se puede realizar físicamente en una tienda, o en línea.

Pero lamentablemente algunos proveedores de telefonía, todavía permiten hacerlo mediante una llamada al número de atención al cliente.

Robo de cookies de sesión utilizando herramientas como Mimikatz o RedLine Stealer

Los ataques posteriores a la autenticación son un tipo de ataque que tiene como objetivo los tokens de autenticación.

Estos últimos se utilizan para mantener la identidad y los derechos de acceso de una persona (o una máquina) después del proceso de inicio de sesión.

Esto implica capturar las cookies utilizadas por los navegadores web para autenticar a los usuarios en los diversos servicios en línea.

Explicado de manera muy básica, el atacante obtiene acceso al dispositivo de una persona a través de phishing, malware, o explotando una vulnerabilidad del sistema operativo.

Esta técnica evita totalmente MFA, y el villano accede tranquilamente a una sesión que ya ha sido previamente autenticada.

En otras palabras:

  1. La víctima inicia sesión mediante usuario y contraseña.
  2. Se identifica mediante el segundo o tercer factor.
  3. Consigue entrar en el sitio web.
  4. El atacante con acceso al dispositivo se hace cargo la conexión.

El uso de cifrado en la mayoría de sitios web, puede evitar eso en gran medida, pero existen varias técnicas mediante las cuales es posible robar las cookies directamente del navegador del usuario.

Y suelen ser bastante efectivas cuando se usan junto a conexiones wifi inseguras.

Ataques SMS OTP

Los mensajes enviados mediante SMS, sigue siendo uno de los protocolos de autenticación más comunes debido a su facilidad de implementación.

Tampoco requieren de ningún tipo de token de software o hardware.

Un atacante puede explotar varias vulnerabilidades, especialmente en tecnologías antiguas como el protocolo SS7, diseñado en la década de 1980 y que sigue siendo ampliamente utilizado a pesar de sus fallos.

También existe software espía que puede interceptar los mensajes de texto directamente. Muchas veces son aplicaciones que se comercializan como de «control parental».

En cualquier caso, este tipo de autenticación es un proceso defectuoso, que causa daños millonarios a consumidores y empresas.

Brinda una falsa sensación de seguridad, y a veces, impide que las empresas busquen otros métodos más seguros.

Aprovechar los tokens de respaldo

Muchos servicios en línea permite descargar una lista con una serie de códigos de respaldo destinados a uso futuro.

Esta característica se utiliza en escenarios donde el dispositivo de autenticación se ha perdido, o por alguna razón es inaccesible.

Sin embargo, si la lista (o incluso uno solo de los códigos de seguridad) cayera en manos equivocadas, el atacante tendría acceso a la cuenta, a pesar de tener MFA activado.

Abuso de autorización abierta (OAuth)

Muchos sitios ofrecen la posibilidad de poder iniciar sesión mediante la cuenta de Google, Facebook u otras redes sociales.

Abuso de autorización abierta

Eso supone poder acceder a servicios y aplicaciones de terceros sin necesidad de ingresar las credenciales de usuario. 

Y la verdad es que puede ahorrarnos el coñazo de tener que recordar un montón de contraseñas.

Pero los delincuentes, mediante phishing, pueden atraer a las víctimas a páginas de inicio de sesión de OAuth falsas para robar sus credenciales.

Los fallos y vulnerabilidades no corregidas en algunas plataformas de servicios en línea las deja expuestas a ataques mediante exploits.

Un ejemplo es el ataque del grupo ruso APT29 a Microsoft.

Otras técnicas

  • Clickjacking: el uso malicioso de una interfaz web alterada diseñada (entre otras cosas) para deshabilitar MFA.
  • Keystroke Logging: la captura de códigos de autenticación a medida que se van ingresando.
  • Fuerza Bruta: un enfoque de prueba y error cada vez más obsoleto.

Prevención

Si utilizas aplicaciones MFA instaladas en el teléfono móvil, resiste la tentación de aprobar cualquier notificación. Obviamente, a menos que seas tú quien está intentando iniciar sesión en algún sitio..

Evita (si puedes) la obsoleta autenticación basada en SMS y correo electrónico.

Algunos servicios todavía las utilizan, y ciertamente es mejor que nada. Pero son muy fáciles de interceptar.

No instales aplicaciones de procedencia dudosa en el teléfono, y ten cuidado con las falsas actualizaciones de software.

Utiliza la forma de MFA más sólida que el servicio tenga disponible. A ser posible una combinación de ellas.

  • Algo que sepas (contraseña).
  • Algo que tengas (aplicación de autenticación móvil, o token de seguridad).
  • Algo que seas (datos biométricos).

Aunque esto sería lo ideal, sinceramente, es muy difícil encontrar un servicio en línea que acepte los tres factores a  la vez.

En el caso, tener aplicaciones de autenticación instaladas en los teléfonos móviles, es muy importante mantener los dispositivos actualizados con los últimos parches de seguridad.

Un móvil desactualizado es una invitación para los exploits.

Contenido relacionado

Información

Lo más visto

Temas

Privacidad Amenazas Estafas Ingeniería social Internet Teléfonos móviles Herramientas Seguridad informática Contraseñas Malware Seguridad de sitios web Redes VPN Windows Software de código abierto Software malicioso Android
© 2019 - 2025 Infosegur.net

Contenido bajo una licencia de Creative Commons 4.0