Aumentan las preocupaciones sobre los ataques de bypass de MFA
Preocupaciones crecientes sobre ataques de bypass de MFA
La autenticación de múltiples factores (MFA) utiliza factores de autenticación como contraseñas, huellas dactilares y teléfonos inteligentes para asegurar sistemas y datos. Expertos en seguridad presionan a los consumidores y organizaciones para adoptar MFA, porque es más difícil para los hackers criminales obtener acceso no autorizado a sistemas cuando deben robar múltiples factores de autenticación.
Expertos en organizaciones de seguridad y estándares como la Agencia de Ciberseguridad e Infraestructura (CISA) y el Instituto Nacional de Estándares y Tecnología (NIST) instan a las personas y organizaciones a utilizar MFA siempre que sea posible.
Sin embargo, los ciberdelincuentes cada vez están evitando MFA utilizando ataques especialmente diseñados.
En febrero, Reddit, un foro de noticias y compartición de contenido en redes sociales, descubrió que los atacantes habían pescado a sus empleados a través de correo electrónico. El ataque engañó a los usuarios para que entregaran sus credenciales de MFA a los ciberdelincuentes.
“El atacante utilizó indicaciones convincentes dirigiendo a los empleados a un sitio web que imitaba la puerta de entrada intranet de Reddit”, dice James Quick, director de soluciones y asesoramiento de Simeio, una compañía de gestión de identidad y acceso (IAM).
- Investigadores de Stanford presentan Gisting Una novedosa técnica p...
- Conoce a Co-BioNet el sistema de IA adversarial de la Universidad d...
- Investigadores de Meta AI y la Universidad de Cambridge examinan có...
Según Quick, cuando los empleados ingresaron sus credenciales y tokens de segundo factor, los criminales capturaron y utilizaron esos para obtener acceso a la organización.
Los ataques de evasión de MFA están aumentando. Según datos de Sapphire Cybersecurity, un proveedor de servicios de seguridad gestionados (MSSP) del Reino Unido con 25 años de experiencia, hubo 40,942 ataques de Fatiga de MFA en agosto de 2022.
Los hackers criminales tienen muchas técnicas de evasión de MFA, como ataques de hombre en el medio (MitM), kits de phishing para evadir MFA, cookies de sesión de navegador robadas, fatiga de MFA y aplicaciones OAuth maliciosas.
Sin embargo, existen métodos para mitigar estos ataques.
Los ciberdelincuentes pueden utilizar ataques de hombre en el medio en puntos de acceso Wi-Fi para evadir MFA. Los criminales utilizan un punto de acceso falso y una red inalámbrica falsa, y engañan a un usuario para que se conecte a ella. El engaño le da al criminal acceso al tráfico entre el usuario final y Internet, y la capacidad de robar su token.
Según Brian Hornung, director ejecutivo de Xact IT Solutions, Inc., una empresa de servicios de ciberseguridad y TI, cuando un empleado que viaja se conecta al Wi-Fi de un hotel y luego a su cuenta de Microsoft, puede ver un mensaje preguntando si desea confiar en el sitio o recordarlo en su dispositivo. “La mayoría de los usuarios sin entrenamiento van a hacer clic en ‘sí’ porque no quieren pasar por el proceso de inicio de sesión manual cada vez que se conecten desde esta red”, explica Hornung. “Pero si el atacante puede interceptar el token de Microsoft mientras pasa de Microsoft a ellos y luego al usuario, pueden robar ese token y usarlo para obtener acceso”.
Los kits de phishing para evadir MFA son una opción popular para los ciberdelincuentes. Utilizan los kits y sitios web de phishing para capturar nombres de usuario, contraseñas y tokens de MFA para iniciar sesión en la cuenta del usuario.
Según Hornung, cuando un empleado ingresa su nombre de usuario y contraseña en el sitio web falso, los hackers criminales recopilan esa información y la ingresan rápidamente en el sitio legítimo. Cuando el sitio le devuelve un token de MFA al usuario, este lo ingresa y el criminal lo recopila rápidamente y lo ingresa en el sitio real, dice.
El robo de cookies de sesión de navegador es otra vía para evadir MFA. Las organizaciones utilizan cookies de sesión de navegador para capturar la actividad de un usuario mientras está en el sitio web. Esa sesión del usuario debería finalizar y la cookie debería eliminarse cuando el usuario cierra su navegador.
Desafortunadamente, según HelpNetSecurity, un hacker criminal puede evadir MFA al robar la cookie de sesión de navegador del navegador del usuario para obtener acceso no autorizado al sitio de la organización y a datos sensibles.
Otro ataque, la fatiga de MFA, ha recibido mucha cobertura en las noticias. Según BleepingComputer, los ataques de fatiga de MFA o bombardeo de MFA utilizan scripts para automatizar intentos de inicio de sesión repetidos. El sistema envía solicitudes de confirmación de autenticación de dos factores (2FA) a los usuarios hasta que se cansen y confirmen que han iniciado sesión, pero el hacker es quien obtiene acceso.
Los hackers criminales también pueden abusar de la Autorización Abierta (OAuth 2.0), el estándar de facto para la autorización y el consentimiento en línea, para evadir MFA. Según HelpNetSecurity, en los ataques maliciosos de OAuth que comenzaron a aparecer a finales del año pasado, Microsoft dio involuntariamente insignias de “identidad de editor verificada” a hackers criminales. Los ciberdelincuentes utilizaron las insignias azules con aplicaciones fraudulentas de inicio de sesión único (SSO) y reuniones en ataques de ingeniería social. Cuando los usuarios hacían clic en ‘aceptar’, los criminales obtenían acceso no autorizado.
A pesar de los crecientes ataques, hay esperanza. Según Quick, las organizaciones pueden proteger a los empleados y los datos de los ataques de bombardeo/fatiga de MFA utilizando MFA basado en el tiempo, como Google Authenticator o Microsoft Authenticator. Estos códigos de un solo uso basados en el tiempo (TOTPs) caducan después de 30 segundos. “Esto dificulta que los atacantes envíen muchas solicitudes de MFA rápidamente”, explica Quick.
“Otra opción es el MFA de desafío-respuesta. Requiere que los usuarios respondan a una pregunta de seguridad o proporcionen un identificador biométrico además de su contraseña y código de MFA”, dice Quick. Un atacante tendría que conocer la respuesta o tener acceso al identificador biométrico para evadir el MFA.
Existen variaciones en el factor de autenticación “algo que tienes”, como las claves de autenticación física.
Dice Rahul Mahna, director gerente del equipo de servicios de TI externalizados de la firma de contabilidad EisnerAmper: “Estamos viendo cómo se están popularizando los MFA de hardware, como YubiKeys. Las claves permiten la autenticación física frente a la electrónica”.
Las YubiKeys y productos similares, como Google Titan, mitigan los ataques de intermediarios y de phishing porque el delincuente no tiene la clave física.
La conciencia es una herramienta crítica para los equipos de seguridad. Según Quick, las organizaciones deben conocer los últimos ataques de phishing y de ingeniería social en el MFA. “Los atacantes están desarrollando constantemente nuevas formas de engañar a los usuarios para que aprueben las solicitudes de MFA”, dice. Al conocer cómo funcionan los nuevos ataques de evasión de MFA, los equipos de seguridad pueden aprender qué alertas de eventos configurar y qué registros de eventos revisar para identificar estos ataques.
Las organizaciones pueden buscar orientación en organizaciones de seguridad establecidas. CISA tiene una hoja de datos de octubre de 2022 para implementar MFA resistente al phishing que detalla las amenazas de evasión de MFA, implementaciones de ciberseguridad y recursos.
La evasión de MFA se dirige a las vulnerabilidades humanas. Los equipos de seguridad deben centrarse en monitorear y proteger a los usuarios y el acceso de los usuarios.
“El objetivo de un equipo de ciberseguridad de TI ha cambiado para proteger al individuo, especialmente aquellos que se encuentran en los niveles ejecutivos y tienen acceso a sistemas financieros que pueden convertirse en un gran botín para los hackers”, concluye Mahna.
David Geer es un periodista que se enfoca en temas relacionados con la ciberseguridad. Escribe desde Cleveland, OH, EE. UU.
