¿Cómo pueden eludir la autenticación multifactor (MFA) los delincuentes?
Tabla de contenidos
Existen diversos tipos de ataque que permiten a los actores maliciosos eludir la autenticación multifactor y tomar el control de cuentas corporativas y personales
En los últimos años, las compañías de Software-as-a-Service (SaaS) han reforzado la seguridad a la hora de permitir que un usuario acceda a una cuenta en una plataforma, aplicación o servicio Cloud. ¿Cómo? Implementando la autenticación multifactor, conocida popularmente por sus siglas en inglés: MFA (Multi-Factor Authentication). Este mecanismo exige a los usuarios no solo introducir una contraseña para acceder a una cuenta, sino también emplear otro factor de autenticación: un código que se recibe por SMS o por llamada, un token, validar el acceso a través de una aplicación móvil de autenticación…
El objetivo es comprobar que, efectivamente, la persona que desea acceder a una cuenta es quien dice ser y no un actor malicioso que la ha robado su contraseña.
1. Targets y objetivos de los delincuentes
Como sucede siempre en el ámbito de la ciberseguridad, los delincuentes han ido desarrollando tácticas, técnicas y procedimientos para conseguir eludir la autenticación multifactor y poder acceder a cuentas de usuario de toda clase de servicios:
- Entidades bancarias
- Empresas de retail como Amazon.
- Entornos de trabajo como Microsoft 365 o Google Workspace.
- Software empresarial como programas de facturación.
- Plataformas de reserva hotelera como Booking.
- Redes sociales como Instagram o LinkedIN.
- Plataformas de streaming como Spotify o Netflix.
- Múltiples aplicaciones Cloud.
¿Cuáles son los objetivos de los delincuentes?
- Cometer fraudes económicos.
- Acceder a información confidencial sobre compañías y personalidades públicas.
- Desplegar malware en sistemas corporativos.
- Robar propiedad intelectual y toda clase de documentos y comunicaciones en el ámbito empresarial.
- Secuestrar datos privados e, incluso, cuentas de usuario para extorsionar a sus víctimas, por ejemplo, micro-influencers.
- Hackear cuentas en redes sociales para realizar otros ataques.
- Llevar a cabo fraudes audiovisuales, vendiendo accesos a cuentas legítimas de plataformas…
- Obtener información para lanzar futuros ataques.
A continuación, vamos a desgranar algunas de estas tácticas, así como las medidas que pueden implementar tanto los proveedores de software como las empresas que contratan aplicaciones y programas de terceros para proteger las cuentas.
2. Attack-in-the-middle: Robar tokens y cookies de sesión
Hace unas semanas se hizo pública la actividad de Tycoon 2FA, una plataforma de Phishing-as-a-Service que ofrece paquetes de ataques que permiten eludir la autenticación multifactor y acceder a cuentas de usuarios de Microsoft 365 y Gmail. El procedimiento diseñado y comercializado por este grupo delictivo combina la creación de páginas de phishing que simulan ser páginas de acceso a las aplicaciones legítimas y el uso de proxys inversos alojados en dichas páginas.
De tal manera que los actores maliciosos son capaces de engañar a sus víctimas para que introduzcan sus credenciales de acceso y, después, interceptan las cookies o tokens que se generan para poder acceder a las cuentas de forma ilegítima eludiendo la barrera de seguridad.
Este caso no es anecdótico y se suma a otra clase de campañas de attack-in-the-middle paquetizadas por grupos delictivos como Greatness, que también tenía en su punto de mira a las cuentas de Microsoft 365, o Robin Banks, centrado en atacar cuentas de entidades bancarias como Citibank o Wells Fargo.
3. Bombardeo de prompts o fatiga de MFA
Otra táctica empleada por los delincuentes para eludir la autenticación multifactor es el bombardeo de prompts o fatiga de MFA.
Los actores maliciosos obtienen el usuario y la contraseña de un usuario y los introducen en la página de login legítima de una aplicación a lo largo de numerosos intentos. Como dicha aplicación tiene implementada la autenticación multifactor, por cada solicitud se le envía un mensaje al usuario legítimo para que valide el acceso. Mediante esta táctica, los delincuentes buscan que o bien el usuario autorice el acceso por error, por ejemplo, haciendo clic en un enlace, o por cansancio, para dejar de recibir las notificaciones.
El ataque más célebre de este tipo lo sufrió Uber hace poco más de un año. El grupo Lapsus$ fue capaz de acceder a la red de esta compañía gracias a las credenciales VPN de un proveedor de la misma. Una vez que se hizo con dichas credenciales, el grupo intentó entrar múltiples veces en la cuenta de Uber de dicho proveedor. Como la autenticación multifactor estaba habilitada, se generaron un alud de solicitudes de aprobación de inicio de sesión a modo de segundo factor. Aun así, el proveedor no validó ninguna solicitud.
Por ello, los delincuentes se pusieron en contacto con él, haciéndose pasar por el servicio técnico de Uber de cara a conseguir que validara la solicitud de acceso.
4. SIM swapping: Cuando el mensaje lo recibe el delincuente
El SIM swapping es uno de los fraudes digitales clave de esa era, sobre todo, porque los delincuentes emplean esta técnica para cometer estafas bancarias. Pero, ¿en qué consiste exactamente?
Los cibercriminales hacen un perfil sobre sus víctimas para recabar datos críticos como: número de identificación, número de teléfono, dirección, email e información financiera (número de cuenta, tarjeta de crédito, solvencia económica…).
Después, se ponen en contacto con su operadora de telefonía suplantando la identidad de la víctima y solicitan un duplicado de su tarjeta SIM, argumentando que la han perdido, se ha deteriorado o necesitan cambiar su tamaño.
Una vez obtenido el duplicado, pueden validar de forma fraudulenta el acceso a una cuenta si el segundo factor de autenticación consiste en la remisión de un SMS o en una llamada.
Aunque el SIM swapping se emplea mayoritariamente para acceder a las cuentas de banca electrónica de las víctimas, está técnica maliciosa puede usarse para eludir la autenticación multifactor de toda clase de aplicaciones y plataformas.
5. Solicitar el restablecimiento de la contraseña
Junto al SIM swapping debemos tener en cuenta otra técnica maliciosa para eludir la autenticación multifactor que busca manipular a profesionales al otro lado del teléfono. En este caso, los delincuentes llevan a cabo una laboriosa tarea de recopilación de información sobre los profesionales de una compañía recurriendo a búsquedas web, consulta de webs corporativas y, sobre todo, redes sociales.
Una vez que disponen de toda la información necesaria para suplantar la identidad de un trabajador se ponen en contacto con los servicios técnicos de la empresa y les informan de que se han olvidado de la contraseña para acceder a su cuenta corporativa. Como son capaces de no levantar sospechas gracias a los datos de los que disponen, el técnico que atiende la llamada les da acceso.
Precisamente, esta fue la técnica que empleó el grupo delictivo AlphV para colarse en los sistemas de MGM Resorts, una compañía que posee algunos de los casinos más importantes de Estados Unidos. Una vez dentro, los hackers crearon cuentas falsas para evitar quedarse sin acceso y desplegaron un ransomware para secuestrar información confidencial.
La compañía tuvo que gastar 10 millones de dólares para contener el ataque y ha valorado que el incidente, que tuvo lugar en septiembre de 2023, causó un impacto económico de 100 millones de dólares, porque diversas operaciones y procesos se vieron paralizados durante el incidente.
6. Kits para eludir la autenticación multifactor
¿Qué actores pueden eludir la autenticación multifactor? ¿Solo los criminales con conocimientos, experiencia y recursos para llevar ataques sofisticados? Por desgracia no. Actualmente, diversas plataformas de Phishing-a-a-Service ofrecen a sus clientes la posibilidad de realizar ataques incluyendo técnicas para eludir la autenticación multifactor, como evidencian casos como los de Robin Banks, Tycoon 2FA o Greatness. Y existen multitud de herramientas abiertas como evilginx para este propósito.
De tal manera que delincuentes que carecen de formación, tiempo y dinero para diseñar ataques capaces de eludir la autenticación multifactor pueden realizarlos contratando los paquetes que los grupos criminales ofrecen a través de la Dark Web, pero también mediante foros o aplicaciones como Telegram.
Esto supone que el número de potenciales atacantes crece de forma exponencial y que, también, más empresas y ciudadanos pueden ser víctimas de ataques que buscan acceder a cuentas corporativas (SaaS empresariales) o de índole personal (plataformas de streaming).
Asimismo, los grupos delictivos que comercializan esta clase de kits para eludir la autenticación multifactor y acceder a cuentas de aplicaciones, obtienen ganancias económicas directas y constantes que les permiten perfeccionar sus técnicas, tácticas y procedimientos y desarrollar nuevos ataques que sean capaces de superar las medidas defensivas puestas en marcha por los equipos de ciberseguridad.
7. El futuro ya está aquí: IA generativa frente a la autenticación biométrica
A la hora de autenticar el acceso a cuentas corporativas, desde hace tiempo se ha puesto sobre la mesa la posibilidad de implementar la autenticación biométrica: escáner del iris, huella dactilar, reconocimiento facial o de voz…
Se partía de la base de que gracias a este tipo de autenticación resultaría mucho más difícil que personas no autorizadas accedieran a determinados activos corporativos. Sin embargo, la autenticación biométrica se enfrenta a dos grandes trabas:
- La protección de datos. Que los usuarios tengan que ceder datos personalísimos como su rostro, su voz o su huella dactilar puede chocar con un marco normativo extremadamente garantista en materia de protección de datos privados.
- El perfeccionamiento de la IA generativa. Actualmente, los delincuentes ya están empleando sistemas sustentados sobre grandes modelos de lenguaje para diseñar e implementar ataques. Por ejemplo, usando una IA para clonar la voz de una persona o realizar deepfakes de imagen. Si tenemos en cuenta que las IA generativas aún están en plena evolución y que se prevé que sus capacidades sean cada vez mayores, la efectividad de la autenticación biométrica puede verse en entredicho.
8. ¿Cómo se puede evitar el acceso ilegítimo a cuentas?
En primer lugar, es fundamental tener en cuenta que la autenticación multifactor sigue siendo una medida de seguridad crítica y eficaz a la hora de securizar los accesos a cuentas, ya que obliga a los ciberdelincuentes a diseñar e implementar tácticas para eludir la autenticación multifactor.
¿Existen factores más recomendables que otros? Cada vez más compañías están optando por exigir el uso de aplicaciones móviles de autenticación porque son más seguras y dificultan la labor de los delincuentes, frente a otros mecanismos como el envío de códigos o enlaces a través de SMS. Esta tendencia se une al uso de certificados digitales de cliente o con sistemas de autenticación multifactor basadas en FIDO2 para evitar que las claves 2FA robadas no puedan ser utilizadas por los ciberdelincuentes.
Ante la expansión de las plataformas de Phishing-as-a-Service (PaaS) que incluyen entre sus servicios la posibilidad de eludir la autenticación multifactor, las grandes compañías proveedoras de servicios deben implementar sistemas MFA más robustos para evitar que los actores maliciosos puedan superarlos con éxito.
8.1. Servicios de ciberseguridad para prevenir incidentes y minimizar su impacto
Asimismo, tanto los desarrolladores de software como las empresas que contratan herramientas de terceros tienen a su disposición servicios de ciberseguridad avanzados que permitan evaluar su capacidad de resistir frente a ataques que empleen TTPs para eludir la autenticación multifactor y optimizarla.
- Auditorías de seguridad web para detectar vulnerabilidades en aplicaciones, priorizarlas y proceder a mitigarlas antes de que sean explotadas.
- Test de ingeniería social para analizar el nivel de madurez de los profesionales de una compañía ante los ataques de phishing y conseguir formarlos y concienciarlos.
- Threat Hunting proactivo para anticiparse a los ciberdelincuentes, descubrir sus TTPs y optimizar las capacidades de detección de una organización.
- Escenarios de Red Team en los que se compruebe de manera realista cómo responden las capacidades defensivas de una compañía ante ataques centrados en eludir la autenticación multifactor y tener acceso a cuentas de SaaS.
- Servicio de respuesta a incidentes. Si un actor malicioso es capaz de acceder a una cuenta corporativa resulta de vital importancia actuar de inmediato para identificar el alcancel de compromiso, poner en marcha las actividades de respuesta, expulsar al actor malicioso en el menor tiempo posible y constatar qué información se vio expuesta durante el incidente.
En definitiva, aunque los delincuentes sean capaces de desarrollar tácticas, técnicas y procedimientos para eludir la autenticación multifactor, este mecanismo de seguridad sigue resultando útil a la hora de evitar accesos indebidos a herramientas tan sensibles como el correo electrónico corporativo, un programa de facturación o los sistemas