La autenticación multifactor es una buena barrera entre un usuario engañado y los ingenieros sociales que han perpetrado con éxito un ataque de phishing, pero lamentablemente nada puede detener a los villanos demasiado tiempo. En este sentido, también intentan buscar y explotar las debilidades de MFA.
Por ejemplo, inundan a los usuarios con alertas de solicitudes de autenticación, o utilizan kits de phishing sofisticados que pueden recopilar tokens Oauth y MFA en tiempo real.
Los villanos tienen muy claro que es más efectivo (y barato) robar credenciales para poder iniciar sesión en las cuentas de las víctimas, que intentar saltarse las salvaguardas y controles técnicos.
Si bien MFA sigue siendo un método muy efectivo para evitar el robo de cuentas, no es cien por cien infalible.
Los métodos más comunes para eludir MFA
Los piratas informáticos pueden emplear diversas tácticas para eludir los controles de autenticación de múltiples factores.
Esta es una breve descripción de los métodos más populares.
Ataques SMS OTP
Los mensajes enviados mediante SMS, sigue siendo uno de los protocolos de autenticación más comunes debido a su facilidad de implementación.
Tampoco requieren de ningún tipo de token de software o hardware.
Pero lo cierto, es que se trata de un proceso defectuoso, que causa daños millonarios a consumidores y empresas.
Brinda una falsa sensación de seguridad, y a veces, impide que las empresas busquen otros métodos de autenticación más seguros.
Este ataque se acostumbra a realizar mediante un intercambio de SIM.
Si ha tenido éxito, todos los mensajes SMS se envían al teléfono del atacante en lugar de al de la víctima.
Ataques de notificaciones automáticas
También llamados «bombardeos rápidos de MFA», aprovechan la poca atención que muchos de nosotros podemos llegar a prestar a este tipo de notificaciones.
- El atacante ya tiene un nombre de usuario y una contraseña válidos.
- Inicia sesión en la cuenta del objetivo.
- El servicio envía una notificación automática al dueño de la cuenta para que apruebe el inicio de sesión.
El villano sabe que cada intento de inicio de sesión generará una nueva alerta en el teléfono móvil del usuario, exigiendo que apruebe o deniegue el acceso.
Para desbordar a la víctima, puede utilizar un script que iniciará sesión automáticamente cada cierto tiempo.
Cada vez que el usuario presione en «Denegar» el script intentará iniciar sesión nuevamente, por lo que el objetivo volverá a recibir otro mensaje.
Y así sucesivamente.
Esto puede llegar a volverse insidioso y molesto, hasta el punto de conseguir que una persona agobiada, distraída o abrumada por tantas notificaciones, en un momento dado, las apruebe.
Ataque a tokens de software (tokens blandos)
Los delincuentes han desarrollado formas de robar tokens de autenticación, lo que les permite hacerse pasar por usuarios legítimos.
Si bien los tokens de software como Google Authenticator o Authy generalmente se consideran seguros, debemos preocuparnos por el malware dirigido a los teléfonos móviles.
Si el dispositivo se ve comprometido por un exploit de día cero, puede usarse para recuperar los códigos de un solo uso.
Los tokens de hardware, también llamados tokens duros, son mucho más seguros, pero debido a su pequeño tamaño (una especie de llavero) son susceptibles de perderse.
Evilginx2
maleginx2 funciona actuando como un proxy entre el usuario y el servidor.
- El atacante primero necesita encontrar una forma de redirigir el tráfico de los usuarios a través del proxy.
- Para ello suele utilizar un correo electrónico de phishing.
- Luego, el tráfico se envía al servicio real donde la víctima quiere iniciar sesión.
Por lo tanto, el usuario está viendo el sitio auténtico, y no una réplica, como ocurre en la mayoría de ataques de phishing, y se identificará con toda confianza.
Pero no se trata solo de capturar tokens.
El villano puede ver toda la comunicación entre el usuario y el sitio.
Y no solo obtiene los nombres de usuario y las contraseñas, sino también las cookies de autenticación.
Estas últimas son la panacea, porque podrían permitir al atacante eludir cualquier tipo de autenticación de dos factores habilitada en la cuenta del usuario.
Adversary in the Middle
Es una técnica que consiste en enviar un correo electrónico de phishing que contiene un enlace a un clon de un servicio web.
El objetivo del atacante es posicionarse entre el usuario y el sitio legítimo para interceptar el tráfico con la ayuda de un proxy.
Pero a diferencia del ataque anterior, la víctima es dirigida a una página clonada del sitio legítimo, que también tendrá implementado un sistema de autenticación de múltiples factores.
El sitio clonado mostrará las distintas etapas de la autenticación MFA, para que el usuario proporcione los datos correctos.
El objetivo es recuperar la cookie de sesión y usarla para iniciar sesión en la página legítima.
Conclusión
MFA es muy efectivo, pero por si solo, no protegerá nuestras cuentas en línea de todas las amenazas.
También hay que tener cuidado con las tácticas de ingeniería social como el phishing, que se utilizan para obtener información personal.
En el caso de las aplicaciones de autenticación instaladas en los teléfonos móviles, es muy importante mantener los dispositivos actualizados con los últimos parches de seguridad.
Por su parte, los diferentes proveedores de telefonía móvil, deberían implementar medidas para evitar cosas como el intercambio de SIM.
