La autenticación multifactor (MFA) es una medida de seguridad muy importante en la protección de cuentas, pero los ciberdelincuentes ya tienen sus estrategias ingeniosas para eludirla. Hoy en día, incluso con MFA activado, no estamos completamente a salvo de posibles brechas. En este artículo, te mostraré cómo algunos atacantes superan esta barrera de seguridad y qué pasos puedes tomar para mejorar tus defensas.
¿Por qué y cómo buscan eludir la MFA?
Los ciberdelincuentes tienen varios objetivos al intentar acceder a cuentas protegidas: robar datos personales, cometer fraudes económicos, acceder a información sensible de empresas, o incluso vender el acceso a estas cuentas en el mercado negro. Con estas intenciones en mente, han diseñado métodos para engañar tanto a la tecnología como al usuario, aprovechando debilidades y errores humanos. Aquí te presento algunas de las técnicas más utilizadas y cómo logran, en muchos casos, burlar la MFA.
Ataque «Man-in-the-Middle»: interceptando los datos
Uno de los métodos más comunes para eludir la MFA es el ataque Man-in-the-Middle (MitM). En este tipo de ataque, el ciberdelincuente se sitúa entre el usuario y el sitio de autenticación, interceptando la información enviada, como los códigos MFA. Para llevarlo a cabo, el atacante crea una página de inicio de sesión falsa que simula ser la real. Cuando la víctima introduce sus credenciales, el atacante las captura y utiliza para acceder al servicio legítimo.
Esto puede ocurrir si, por ejemplo, te conectas a una red Wi-Fi pública. Esa red podría haber sido modificada de forma maliciosa por algún atacante. Al entrar en una web determinada, podrías ser redirigido a otra falsa, que parezca la legítima, donde van a robar tus datos, contraseñas y códigos de autenticación múltiple.
¿Cómo protegerse? Utiliza aplicaciones de autenticación en lugar de recibir códigos por SMS, ya que las apps son menos vulnerables a este tipo de ataques. Además, emplear plataformas que detecten actividad inusual y alerten al usuario puede añadir una capa de protección. Por ejemplo, puedes usar Google Authenticator, que es una aplicación que funciona bastante bien.
Bombardeo de notificaciones: la fatiga de MFA
Este método, conocido como «bombardeo de MFA», es una técnica psicológica. Aquí, el atacante intenta iniciar sesión repetidamente en la cuenta de la víctima, lo cual desencadena una serie de notificaciones de MFA en el dispositivo del usuario. El objetivo es que la persona, por error o cansancio, apruebe la solicitud y le dé acceso al atacante.
¿Cómo evitarlo? Es importante revisar bien cada solicitud de autenticación antes de aprobarla. Si recibes notificaciones inesperadas, lo mejor es ignorarlas y cambiar la contraseña de inmediato. Algunas aplicaciones permiten añadir un mensaje personalizado en cada intento de inicio de sesión, lo cual ayuda a confirmar si la solicitud es legítima.
Ten en cuenta que el código MFA sirve para confirmar que eres tú quien inicia sesión en la cuenta, pero previamente han tenido que poner la contraseña correspondiente. Por tanto, proteger tu clave de acceso, es también fundamental. Asegúrate de utilizar una que sea totalmente aleatoria y no cometas errores que puedan comprometer tus cuentas.
SIM Swapping: los códigos llegan al atacante
Otra forma de eludir la autenticación es a través del SIM swapping. Con esta técnica, el atacante contacta con la operadora de telefonía móvil y se hace pasar por la víctima para conseguir una copia de su tarjeta SIM. Una vez logrado, recibe los mensajes de texto y llamadas, incluyendo los códigos de MFA, en su propio dispositivo.
Es cierto que este ataque no es sencillo, ya que las propias operadoras cuentan con mecanismos de seguridad para prevenir, no significa que no pueda ocurrir. Si consiguen tus datos personales, podrían suplantar tu identidad y recibir una tarjeta en tu nombre. De esta forma, se desencadena el problema que mencionamos.
Medidas preventivas: Si tu MFA se basa en SMS, contacta a tu proveedor de servicios móviles para solicitar protecciones adicionales, como establecer un PIN para cambios en tu cuenta. Alternativamente, usa aplicaciones de autenticación que generan códigos en tu dispositivo, sin depender de SMS.
Ingeniería social: «hackeando» al usuario
En este tipo de ataque, los ciberdelincuentes no van contra la tecnología, sino contra la persona. A través de ingeniería social, el atacante se hace pasar por un técnico o una persona de confianza para obtener directamente el código de autenticación o realizar un restablecimiento de contraseña. Este método funciona aprovechando el desconocimiento o la falta de precaución del usuario.
Protección: Mantente siempre alerta ante solicitudes de acceso o cambios de contraseña, especialmente si provienen de contactos sospechosos. Las empresas rara vez piden códigos de autenticación o datos confidenciales por teléfono o correo electrónico. Por ejemplo, tu banco no te va a pedir que le des un código que te han enviado por SMS.
Herramientas y kits de phishing a la carta
Desafortunadamente, existen kits de Phishing-as-a-Service (PaaS) que permiten a los ciberdelincuentes lanzar ataques sin apenas conocimientos técnicos. Estas herramientas están diseñadas para evadir la MFA, ofreciendo al atacante métodos y plataformas de fácil uso para el robo de datos. Cualquier persona puede adquirir estos kits en la Dark Web, haciendo que el riesgo de ataque sea mayor.
¿Cómo defenderse? Implementar una estrategia de seguridad en capas es clave para proteger tus datos. Contar con herramientas de detección de phishing y educar a los empleados o usuarios sobre cómo identificar intentos de phishing reduce considerablemente los riesgos.
Como ves, la MFA sigue siendo una herramienta valiosa, pero no infalible. Al estar al tanto de estas técnicas y aplicar precauciones adicionales, puedes aumentar considerablemente la seguridad de tus cuentas. No dejes toda la protección en manos de una sola herramienta; adoptar varias capas de defensa te permitirá estar un paso adelante frente a los ciberdelincuentes.
Fuente -> Redeszone