Ya sea en el trabajo o para nuestras cuentas personales, siempre que sea posible, deberíamos utilizar la autenticación en múltiples factores. Puede que no sea infalible y tenga sus debilidades, pero lo peor que podemos hacer es limitarnos solamente a las inseguras y obsoletas contraseñas.
También es un buen dique de contención entre una persona engañada y los ingenieros sociales que han perpetrado con éxito un ataque de phishing.
En todo caso, la proliferación de dispositivos móviles que admiten aplicaciones de MFA, ha ayudado a proteger las cuentas de millones de personas.
Por otro lado, ha complicado bastante más la vida a los atacantes, que cada vez necesitan desarrollar nuevos inventos para sortearla.
Los ejemplos más conocidos de MFA implican iniciar sesión con el típico método de nombre de usuario y contraseña, para seguidamente realizar una o más de las siguientes acciones.
- Insertar una pequeña llave USB.
- Escribir el código temporal que aparece en una aplicación de autentificación (Google Authenticator, Microsoft Authenticator, Authy, etc.)
- Hacer clic en el botón de una aplicación móvil, para aprobar un inicio de sesión (por ejemplo, Latch).
- Recibir un SMS o un correo electrónico con una clave de confirmación.
Los bancos, mediante sus aplicaciones para el móvil, también avisan de que alguien está intentando hacer una compra en una tienda en línea o, una transferencia, y nos preguntan si deseamos aprobar la transacción.
Y a menos que el villano haya atacado físicamente a una persona para robarle el pendrive o el móvil, es muy difícil que pueda hacer nada al respecto.
Entonces, si es tan segura ¿Cómo pueden eludir los delincuentes la autenticación en múltiples factores?
Como hemos dicho al principio, MFA es una sólida medida de seguridad, pero no está fabricada a prueba de villanos.
Los perpetradores se devanan los sesos para buscar la forma de robarnos, y estafarnos.
Es su oficio, al que dedican la mayor parte de su tiempo y esfuerzos.
Phishing
Las técnicas de ingeniería social son una forma relativamente fácil y eficaz de obtener información confidencial, ya que no requieren de complicados kits de explotación o de malware exótico.
Tampoco de conocimientos técnicos.
En la web oscura (y en la clara) se venden herramientas y paquetes que contienen todo lo necesario.
Incluso el código fuente para crear páginas de inicio de sesión falsas, clavadas a las legítimas.
El objetivo es que las personas, se crean, que se encuentran la web del banco, de la red social, el proveedor de internet, o lo que sea, y faciliten a los ciberdelincuentes sus credenciales de inicio de sesión.
Incluidos los códigos MFA.
Siendo agobiantes y cansinos
Un espabilado que de alguna forma ha conseguido nuestro nombre de usuario y contraseña, seguramente intentará iniciar sesión en cualquier cuenta con estos datos.
Esto generará muchas alertas en nuestro teléfono.
Si nos pilla borrachos, distraídos, o muy cansados, podemos darle autorización.
También es posible que nos hartemos de estas notificaciones y para silenciarlas, pulsemos en la opción que no toca
No es precisamente tecnología punta, pero a base de dar por el saco a veces funciona.
Interponiéndose en el medio
Con un poco de morro, pueden obtener una copia de la tarjeta SIM del móvil de la víctima, haciéndose pasar por ella mediante cualquier pretexto.
Para ello no hay que ser un gran ingeniero social.
Les basta con dar con un empleado de una compañía telefónica que tenga un mal día, este lleno de desidia o simplemente sea un incompetente.
Básicamente, con la excusa de que han perdido el dispositivo, se lo han robado, o ha sufrido daños, solicitan una nueva tarjeta SIM.
Los estafadores pueden contestar a las preguntas de seguridad, ya que antes de intentar la estafa habrán obtenido detalles personales sobre el dueño del dispositivo.
Una vez conseguida, la introducen en su propio teléfono.
Robo de cookies de sesión
Los ataques posteriores a la autenticación son un tipo de ataque que tiene como objetivo los tokens de autenticación.
Estos últimos se utilizan para mantener la identidad y los derechos de acceso de una persona (o una máquina) después del proceso de inicio de sesión.
La forma más conocida y común de ataque posterior a la autenticación es el robo de cookies.
Esto implica capturar o manipular las cookies utilizadas por los navegadores web para autenticar a los usuarios en los diversos servicios en línea.
Esta técnica evita totalmente MFA, y el villano accede tranquilamente a una sesión que ya ha sido previamente autenticada.
En otras palabras:
- La víctima inicia sesión mediante usuario y contraseña.
- Se identifica mediante el segundo o tercer factor.
- Consigue entrar en el sitio web.
- El atacante se hace cargo la conexión.
El uso de cifrado en la mayoría de sitios web, puede evitar eso en gran medida, pero existen varias técnicas mediante las cuales es posible robar las cookies directamente del navegador del usuario.
Y suelen ser bastante efectivas cuando se usan junto a conexiones wifi inseguras.
Ataques SMS OTP
Los mensajes enviados mediante SMS, sigue siendo uno de los protocolos de autenticación más comunes debido a su facilidad de implementación.
Tampoco requieren de ningún tipo de token de software o hardware.
Pero lo cierto, es que se trata de un proceso defectuoso, que causa daños millonarios a consumidores y empresas.
Brinda una falsa sensación de seguridad, y a veces, impide que las empresas busquen otros métodos de autenticación más seguros.
Aprovechar los tokens pregenerados
Muchos servicios en línea permite descargar una lista con una serie de códigos de respaldo destinados a uso futuro.
Esta característica se utiliza en escenarios donde el dispositivo de autenticación se ha perdido, o por alguna razón es inaccesible.
Sin embargo, si la lista (o incluso uno solo de los códigos de seguridad) cayera en manos equivocadas, el atacante tendría acceso a la cuenta, a pesar de tener MFA activado.
Abuso de autorización abierta (OAuth)
Muchos sitios ofrecen la posibilidad de poder iniciar sesión mediante la cuenta de Google, Facebook u otras redes sociales.
Eso supone poder acceder a servicios y aplicaciones de terceros sin necesidad de ingresar las credenciales de usuario.
Y la verdad es que puede ahorrarnos el coñazo de tener que recordar un montón de contraseñas.
Pero los delincuentes, mediante phishing, pueden atraer a las víctimas a páginas de inicio de sesión de OAuth falsas para robar sus credenciales.
Los fallos y vulnerabilidades no corregidas en algunas plataformas de servicios en línea las deja expuestas a ataques mediante exploits.
Un ejemplo es el ataque del grupo ruso APT29 a Microsoft.
Otras técnicas
- Clickjacking: el uso malicioso de una interfaz web alterada diseñada (entre otras cosas) para deshabilitar MFA.
- Keystroke Logging: la captura de códigos de autenticación a medida que se van ingresando.
- Fuerza Bruta: un enfoque de prueba y error cada vez más obsoleto.
Prevención
Si utilizas aplicaciones MFA instaladas en el teléfono móvil, resiste la tentación de aprobar cualquier notificación. Obviamente, a menos que seas tú quien está intentando iniciar sesión en algún sitio.
Algunos ciberdelincuentes (los más cutres y desesperados) pueden llegar a ser muy insistentes.
Evita (si puedes) la obsoleta autenticación basada en SMS y correo electrónico.
Algunos servicios todavía las utilizan, y ciertamente es mejor que nada. Pero son muy fáciles de interceptar.
Utiliza la forma de MFA más sólida que el servicio tenga disponible. A ser posible una combinación de ellas.
- Algo que sepas (contraseña).
- Algo que tengas (aplicación de autenticación móvil, o token de seguridad).
- Algo que seas (datos biométricos).
Aunque sinceramente, es muy difícil encontrar un servicio en línea que acepte los tres factores a la vez.
En el caso, tener aplicaciones de autenticación instaladas en los teléfonos móviles, es muy importante mantener los dispositivos actualizados con los últimos parches de seguridad.
Un móvil desactualizado es una invitación para los exploits.
