Introducción

Las organizaciones deben priorizar la ciberseguridad para proteger los datos confidenciales de los ciberdelincuentes. Un mecanismo de defensa crucial que ha ganado popularidad es Autenticación multifactorial (MFA). La MFA añade una capa adicional de seguridad al exigir a los usuarios que proporcionen dos o más factores de autenticación, como contraseñas, Verificación por SMS, datos biométricos o fichas para acceder a una cuenta o sistema.
Si bien la MFA mejora significativamente la seguridad, los ciberatacantes evolucionan constantemente sus tácticas para eludir estas capas adicionales de protección. En este artículo, analizaremos la evolución de la MFA, las diversas técnicas que utilizan los piratas informáticos para eludirla y las estrategias eficaces para prevenir los ciberataques.

La evolución de la MFA

Comprensión de los conceptos básicos de la MFA

Antes de profundizar en las técnicas de derivación, es fundamental comprender los fundamentos de la MFA. MFA o 2 FA es un método de protección de cuentas que combina varios factores de autenticación para verificar la identidad de un usuario.
Estos factores se dividen en tres categorías: factores de conocimiento, factores de posesión y factores de inherencia. Los factores de conocimiento incluyen las contraseñas o las respuestas a las preguntas de seguridad, los factores de posesión incluyen los tokens físicos o los dispositivos móviles, y los factores de inherencia abarcan los datos biométricos, como las huellas dactilares o el reconocimiento facial.

La eficacia de la MFA

La MFA ha demostrado ser un mecanismo de defensa eficaz contra los ciberataques. Al requerir varios factores de autenticación, la MFA mitiga el riesgo de acceso no autorizado a datos confidenciales. Actúa como una barrera entre los ciberdelincuentes y la información valiosa, lo que reduce la probabilidad de que los ataques tengan éxito. La MFA se ha denominado como el futuro de la autenticación OTP.
Sin embargo, a medida que los piratas informáticos se vuelven más sofisticados, han ideado técnicas para eludir la MFA, lo que subraya la necesidad de mejorar las medidas de seguridad.

Técnicas que utilizan los piratas informáticos para eludir la MFA

1. Ingeniería social: manipulación de las vulnerabilidades humanas

La ingeniería social sigue siendo una de las técnicas más utilizadas por los piratas informáticos para eludir la MFA. Al aprovechar las vulnerabilidades humanas, los ciberdelincuentes engañan a los usuarios para que revelen información confidencial u otorguen acceso no autorizado. Los ataques de suplantación de identidad, en los que los atacantes se hacen pasar por entidades legítimas para engañar a los usuarios, son una forma habitual de ingeniería social. Estos ataques pueden implicar el envío de correos electrónicos engañosos o la creación de sitios web falsos para engañar a los usuarios para que introduzcan sus credenciales de inicio de sesión o códigos de autenticación. Bombeo SMS también es una técnica que utilizan los atacantes.

2. Fatiga de la MFA: aprovechar la paciencia de los usuarios

Otra técnica empleada por los piratas informáticos es la fatiga por MFA. Esto implica bombardear a los usuarios con un aluvión de solicitudes de autenticación múltiple, agotándolos psicológicamente o confiando en la memoria muscular para aprobar una solicitud de inicio de sesión. Al capitalizar la impaciencia de los usuarios, los ciberdelincuentes pueden engañarlos para que concedan acceso a sus cuentas sin darse cuenta, evitando la MFA en el proceso.

3. Hackeo de tarjetas SIM: números de teléfono comprometedores

El hackeo de tarjetas SIM es una técnica en la que los piratas informáticos obtienen acceso no autorizado a la tarjeta SIM de la víctima, lo que les permite interceptar contraseñas de un solo uso (OTP) generadas por SMS. Al asumir el control del número de teléfono de la víctima, los atacantes pueden recibirlo y usarlo OTP para autenticar ellos mismos y eludir la MFA. Esta técnica destaca la vulnerabilidad de los factores de autenticación basados en SMS y la importancia de explorar métodos de MFA alternativos y más seguros.

4. Robo de tokens: explotación de cookies o tokens de sesión

Los piratas informáticos pueden atacar las cookies de sesión o los tokens almacenados en los dispositivos de los usuarios para engañar a los navegadores web y evitar la MFA. Al robar estos tokens, los atacantes pueden hacerse pasar por usuarios legítimos y obtener acceso no autorizado a información confidencial sin necesidad de proporcionar los factores de autenticación necesarios. Esta técnica hace hincapié en la necesidad de una gestión sólida de las sesiones y de un almacenamiento seguro de los tokens de autenticación.

Estrategias para fortalecer la MFA y prevenir los ciberataques

Si bien los piratas informáticos siguen desarrollando métodos innovadores para eludir la MFA, las organizaciones pueden implementar estrategias eficaces para reforzar su postura de seguridad y mitigar los riesgos asociados a estos ataques. Estas son algunas prácticas recomendadas:

1. Educar a los usuarios y proporcionar información transparente

Para mejorar la eficacia de la MFA, las organizaciones deben educar a los usuarios sobre la importancia de las prácticas de autenticación sólidas y los posibles riesgos de los ataques de ingeniería social.
Al presentar notificaciones de MFA, proporcione a los usuarios información suficiente sobre la solicitud, incluidos detalles sobre el origen, el propósito y las posibles consecuencias. La comunicación transparente permite a los usuarios tomar decisiones informadas y aumenta su vigilancia contra los intentos de suplantación de identidad.

2. Implemente prácticas de programación seguras

Al desarrollar métodos de MFA, los proveedores deben priorizar las prácticas de programación seguras. Esto incluye la realización de revisiones exhaustivas del código, las pruebas de penetración internas y externas y la participación en programas de recompensas por errores.
Al adoptar un ciclo de vida de desarrollo seguro, las organizaciones pueden identificar y abordar las posibles vulnerabilidades antes de que puedan ser explotadas por los ciberatacantes. También es crucial crear y compartir modelos de amenazas que describan los posibles vectores de ataque y proporcionen información sobre las estrategias de mitigación.

De hecho, hay consejos para maximizar la eficacia de un método de autenticación tan simple como OTP.

3. Establezca valores predeterminados seguros y oculte secretos

Para minimizar el riesgo de ataques de elusión de MFA, las organizaciones deben establecer valores predeterminados seguros para sus sistemas de MFA. Esto incluye deshabilitar los protocolos más antiguos y vulnerables y habilitar los mecanismos de cierre por error para evitar el acceso no autorizado en caso de errores o excepciones. Además, las organizaciones nunca deben almacenar los secretos de autenticación en texto plano.
En su lugar, deberían utilizar métodos de cifrado seguros, como la tokenización o el cifrado homomórfico, para ocultar o transformar los secretos, lo que los haría inútiles para los atacantes, incluso en el caso de una violación exitosa.

4. Implemente mecanismos de protección por fuerza bruta

Para combatir los ataques de fuerza bruta, las organizaciones deben aplicar el bloqueo de las cuentas después de varios intentos fallidos de inicio de sesión. La implementación de mecanismos estrictos de limitación o limitación de velocidad puede evitar que los piratas informáticos intenten iniciar sesión de forma repetida en un período breve. Al implementar estas protecciones, las organizaciones pueden reducir significativamente la tasa de éxito de los ataques de fuerza bruta y disuadir a los ciberdelincuentes de atacar sus sistemas.

5. Explore alternativas a la autenticación basada en SMS

Dadas las vulnerabilidades asociadas con Autenticación basada en SMS, las organizaciones deberían considerar la posibilidad de adoptar métodos alternativos de MFA. La autenticación biométrica, como el reconocimiento facial o de huellas dactilares, ofrece un mayor nivel de seguridad y es más resistente a los ataques. Además, los tokens de hardware o las aplicaciones de autenticación pueden ofrecer opciones de MFA seguras y prácticas. Las organizaciones deben evaluar sus necesidades de seguridad específicas y elegir métodos de MFA que se ajusten a su tolerancia al riesgo y a los requisitos de los usuarios.

Incluso durante la implementación MEJORES SMS, siempre hay que tomar medidas para Prevención del fraude por SMS OTP.

Ataques de omisión de MFA

1. Los sistemas de TI de Uber fueron violados a través de un ataque de fatiga de MFA. No se robó ningún dato confidencial, pero se convirtió en una pesadilla de relaciones públicas para Uber.
2. Se descargó un código fuente privado de El Github de Slack. Utilizaron fichas de empleados robadas que habían obtenido ilícitamente para eludir las defensas de la MFA y acceder.
3. Twilio se convirtió en víctima de Ataque de bombeo de SMS en 2022, especialmente dirigidos a sus clientes de pequeñas y medianas empresas

Conclusión

A medida que las ciberamenazas siguen evolucionando, las organizaciones deben mantenerse a la vanguardia para proteger sus valiosos datos. Si bien la autenticación multifactor es una medida de seguridad eficaz, los ciberatacantes desarrollan constantemente nuevas técnicas para eludirla. Al implementar estrategias como educar a los usuarios, adoptar prácticas de programación seguras, establecer valores predeterminados seguros, ocultar secretos e implementar mecanismos de protección por fuerza bruta, las organizaciones pueden reforzar sus defensas de MFA y protegerse contra los ciberataques.
Es crucial adoptar un enfoque de seguridad de varios niveles, que combine la MFA con otras medidas de seguridad sólidas, para crear una defensa integral contra las ciberamenazas en constante evolución.