BLOG

¿La MFA soluciona el problema de la apropiación de cuentas?

Miniatura de Jim Downey
Jim Downey
Publicado el 26 de junio de 2023

Para los delincuentes que intentan realizar fraudes de apropiación de cuentas mediante el credential stuffing, la autenticación multifactor (MFA) agrega obstáculos, pero los atacantes han descubierto formas de evitar la MFA, lo que significa que la MFA por sí sola no elimina la amenaza de apropiación de cuentas. Las empresas necesitan tomar medidas adicionales para reforzar la seguridad de MFA, incluida la mitigación de bots y el monitoreo del riesgo contextual.

A pesar de sus debilidades, la MFA es un avance significativo porque la autenticación basada únicamente en contraseña ha fallado claramente. Nosotros, los humanos, simplemente no podemos recordar largas cadenas de caracteres, por lo que tomamos atajos, escogemos contraseñas simples y predecibles y reutilizamos contraseñas en diferentes aplicações, todo lo cual ha provocado muchas violaciones de seguridad.

Sin embargo, con la falla de las contraseñas y la adopción de MFA, hemos visto un aumento en los ataques contra MFA como:

Proxies de phishing en tiempo real

En un ataque de phishing en tiempo real (RTPP), los estafadores usan mensajes de phishing para engañar a los usuarios para que visiten un sitio controlado por el atacante que parece un sitio confiable, incitando al usuario a ingresar sus credenciales y aprobar la solicitud de autenticación de segundo factor, ya sea un mensaje SMS o una notificación push. El RTPP reenvía las credenciales a la aplicación de destino y obtiene acceso. Para ver una demostración del ataque, vea este video del hacker y consultor de seguridad Kevin Mitnick, y para conocer más sobre el crecimiento de los servidores proxy de phishing en tiempo real, consulte el Informe sobre phishing y fraude de F5 Labs .

Atentado contra el MFA

En los ataques con bombas MFA , el atacante engaña al objetivo para que le dé su código de autenticación enviándole múltiples solicitudes fraudulentas de código. Esto funciona mejor contra aplicaciones de autenticación que dependen de notificaciones push porque el usuario puede detener fácilmente el flujo de solicitudes con solo presionar un botón. Los atacantes a veces combinan el bombardeo de MFA con ingeniería social para alentar a los usuarios a aceptar la notificación push y conceder acceso.

Suplantación biométrica

Los atacantes incluso han eludido la autenticación biométrica. Después de todo, dejamos nuestras huellas dactilares por todos lados, en casi todas las superficies lisas que tocamos, donde pueden recolectarse y replicarse usando cualquier cosa, desde una impresora 3D hasta ingredientes de ositos de goma . Los investigadores de seguridad también han demostrado la suplantación del reconocimiento facial y de voz , así como del escaneo del iris . Si bien los proveedores han desarrollado técnicas anti-spoofing, como controles de vida para detectar intentos de evasión, cualquier dispositivo biométrico puede volverse vulnerable a medida que los atacantes avanzan en el estado del arte.

Intercambio de SIM

El intercambio de SIM implica que los estafadores explotan la capacidad de los proveedores de servicios para transferir un número de teléfono a otro dispositivo. El estafador recopila información personal de la víctima y luego utiliza ingeniería social para llamar a una persona de apoyo para que transfiera el número de teléfono de la víctima a la tarjeta SIM del estafador. Al controlar el servicio telefónico de la víctima, el estafador recibe los mensajes de texto destinados al usuario, lo que le permite interceptar contraseñas de un solo uso (OTP) y eludir la MFA.

Reforzando la seguridad de la autenticación multifactor (MFA)

Dado que la MFA supone una mejora significativa respecto de la autenticación basada únicamente en contraseña, llegó para quedarse, por lo que los profesionales de la ciberseguridad deben abordar sus vulnerabilidades.

Una buena manera de comenzar es mitigando los bots. Al explotar la reutilización de contraseñas, los atacantes implementan bots para probar las credenciales robadas contra los inicios de sesión, una técnica definida por OWASP como credential stuffing , que les permite superar el primer factor en MFA. Los atacantes también utilizan bots en ataques RTPP para enviar OTP al sitio de destino antes de que expiren. El bombardeo MFA también es un ataque automatizado que depende de bots. Mediante una solución de gestión de bots eficaz, un equipo de seguridad puede eliminar una herramienta fundamental en la que confían los atacantes para escalar las técnicas de elusión de MFA.

Otra forma de mitigar las vulnerabilidades de MFA es considerar el riesgo contextual. El riesgo contextual se puede determinar según la dirección IP del usuario, el ISP, la ubicación, la hora del día, el dispositivo, la funcionalidad a la que accede y el comportamiento, todo lo cual se puede utilizar para calcular una puntuación de riesgo a medida que un usuario se mueve a través de una aplicação. Cuanto mayor sea la puntuación, más estrictos serán los requisitos de autenticación, lo que podría culminar en la desactivación de una cuenta.

Próximos pasos

Seguramente veremos más proclamaciones sobre la muerte de las contraseñas, junto con más publicidad acerca de que las nuevas técnicas de MFA harán que la autenticación sea segura de una vez por todas, pero seguirán existiendo formas para que atacantes decididos eviten las nuevas implementaciones, lo que requerirá que usted continúe analizando y mitigando las vulnerabilidades de MFA. Para un análisis más profundo de por qué la MFA es solo un primer paso para prevenir la apropiación de cuentas, consulte el nuevo informe técnico de F5 . Al asociarse con F5, puede proteger la MFA y al mismo tiempo optimizar la experiencia del cliente. Obtenga más información sobre F5 Distributed Cloud Services y regístrese para hablar con nuestro equipo.