Cuando se trata de seguridad de acceso, una recomendación destaca por encima del resto: la autenticación multifactor (MFA). Dado que las contraseñas por sí solas son un trabajo sencillo para los piratas informáticos, MFA proporciona una capa esencial de protección contra infracciones. Sin embargo, es importante recordar que MFA no es infalible. Se puede evitar, y a menudo se hace.
Si una contraseña se ve comprometida, hay varias opciones disponibles para los piratas informáticos que buscan eludir la protección adicional de MFA. Exploraremos cuatro tácticas de ingeniería social que los piratas informáticos utilizan con éxito para violar MFA y enfatizaremos la importancia de tener una contraseña segura como parte de una defensa en capas.
1. Ataques de adversario en el medio (AITM)
Los ataques AITM implican engañar a los usuarios haciéndoles creer que están iniciando sesión en una red, aplicación o sitio web genuino. Pero en realidad, están entregando su información a un imitador fraudulento. Esto permite a los piratas informáticos interceptar contraseñas y manipular medidas de seguridad, incluidas las indicaciones de MFA. Por ejemplo, un correo electrónico de phishing puede llegar a la bandeja de entrada de un empleado haciéndose pasar por una fuente confiable. Al hacer clic en el enlace incrustado, se les dirige a un sitio web falso donde los piratas informáticos recopilan sus credenciales de inicio de sesión.
Si bien lo ideal es que MFA evite estos ataques al requerir un factor de autenticación adicional, los piratas informáticos pueden emplear una técnica conocida como «transmisión 2FA». Una vez que la víctima ingresa sus credenciales en el sitio falso, el atacante ingresa rápidamente los mismos detalles en el sitio legítimo. Esto desencadena una solicitud MFA legítima, que la víctima anticipa y aprueba fácilmente, otorgando sin saberlo al atacante acceso completo.
Esta es una táctica común para grupos de amenazas como Tormenta-1167, conocidos por crear páginas falsas de autenticación de Microsoft para recopilar credenciales. También crean una segunda página de phishing que imita el paso MFA del proceso de inicio de sesión de Microsoft, solicitando a la víctima que ingrese su código MFA y otorgue acceso a los atacantes. Desde allí, obtienen acceso a una cuenta de correo electrónico legítima y pueden utilizarla como plataforma para un ataque de phishing de varias etapas.
2. Bombardeo rápido del MFA
Esta táctica aprovecha la función de notificación automática en las aplicaciones de autenticación modernas. Después de comprometer una contraseña, los atacantes intentan iniciar sesión, lo que envía un mensaje MFA al dispositivo del usuario legítimo. Dependen de que el usuario lo confunda con un aviso genuino y lo acepte o se frustre con los avisos continuos y acepte uno para detener las notificaciones. Esta técnica, conocida como bombardeo rápido del MFA, plantea una amenaza importante.
En un incidente notable, los piratas informáticos del 0ktapus El grupo comprometió las credenciales de inicio de sesión de un contratista de Uber mediante phishing por SMS, luego continuó con el proceso de autenticación desde una máquina que controlaban e inmediatamente solicitó un código de autenticación multifactor (MFA). ellos entonces Se hizo pasar por un miembro del equipo de seguridad de Uber. en Slack, convenciendo al contratista de que acepte la notificación push de MFA en su teléfono.
3. Ataques a la mesa de servicio
Los atacantes engañan a los servicios de asistencia técnica para que eludan MFA fingiendo haber olvidado la contraseña y obteniendo acceso a través de llamadas telefónicas. Si los agentes de la mesa de servicio no aplican los procedimientos de verificación adecuados, pueden, sin saberlo, otorgar a los piratas informáticos un punto de entrada inicial al entorno de su organización. Un ejemplo reciente fue el ataque al MGM Resorts, donde el Araña dispersa El grupo de piratas informáticos se puso en contacto de forma fraudulenta con el servicio de asistencia técnica para restablecer la contraseña, lo que les dio un punto de apoyo para iniciar sesión y lanzar un ataque de ransomware.
Los piratas informáticos también intentan explotar la configuración de recuperación y los procedimientos de copia de seguridad manipulando los servicios de asistencia técnica para eludir la MFA. 0ktapus Se sabe que recurren a atacar el servicio de atención al cliente de una organización si su bombardeo inmediato del MFA no tiene éxito. Se pondrán en contacto con los servicios de atención al cliente alegando que su teléfono no funciona o se ha perdido y luego solicitarán registrarse en un nuevo dispositivo de autenticación MFA controlado por el atacante. Luego pueden explotar el proceso de recuperación o copia de seguridad de la organización enviando un enlace de restablecimiento de contraseña al dispositivo comprometido. ¿Le preocupan las brechas de seguridad en la mesa de servicio? Aprende cómo asegurar el tuyo.
4. Intercambio de SIM
Los ciberdelincuentes entienden que MFA a menudo depende de los teléfonos móviles como medio de autenticación. Pueden explotar esto con una técnica llamada «intercambio de SIM», donde los piratas informáticos engañan a los proveedores de servicios para que transfieran los servicios de un objetivo a una tarjeta SIM bajo su control. Luego pueden hacerse cargo de manera efectiva del servicio celular y el número de teléfono del objetivo, permitiéndoles interceptar indicaciones de MFA y obtener acceso no autorizado a las cuentas.
Tras un incidente ocurrido en 2022, Microsoft publicó un informe que detalla las tácticas empleadas por el grupo de amenazas LAPSUS$. El informe explica cómo LAPSUS$ dedica extensas campañas de ingeniería social para lograr un punto de apoyo inicial en las organizaciones objetivo. Una de sus técnicas favoritas es atacar a los usuarios con ataques de intercambio de SIM, junto con bombardeos rápidos de MFA y restablecer las credenciales de un objetivo a través de la ingeniería social del servicio de asistencia.
No puedes confiar plenamente en MFA: la seguridad de las contraseñas sigue siendo importante
Esta no era una lista exclusiva de formas de eludir la MFA. También hay otras formas, como comprometer puntos finales, exportar tokens generados, explotar SSO y encontrar deficiencias técnicas sin parches. Está claro que configurar MFA no significa que las organizaciones puedan olvidarse por completo de proteger las contraseñas.
El riesgo de que una cuenta se vea comprometida suele comenzar con contraseñas débiles o comprometidas. Una vez que un atacante obtiene una contraseña válida, puede centrarse en eludir el mecanismo MFA. Incluso una contraseña segura no puede proteger a los usuarios si se ve comprometida por una infracción o por la reutilización de la contraseña. Y para la mayoría de las organizaciones, dejar de usar contraseñas no será una opción práctica.
Con una herramienta como Specops Password Policy, puede aplicar políticas sólidas de contraseñas de Active Directory para eliminar contraseñas débiles y escanear continuamente en busca de contraseñas comprometidas como resultado de infracciones, reutilización de contraseñas o ventas después de un ataque de phishing. Esto garantiza que MFA sirva como una capa adicional de seguridad según lo previsto, en lugar de depender únicamente de ella como una solución milagrosa. Si está interesado en explorar cómo la Política de contraseñas de Specops puede adaptarse a las necesidades específicas de su organización, contáctenos.