En el panorama digital actual, los sistemas tradicionales de autenticación basados únicamente en contraseñas han demostrado ser vulnerables a una amplia gama de ciberataques. Para salvaguardar los recursos comerciales críticos, las organizaciones recurren cada vez más a la autenticación multifactor (MFA) como una medida de seguridad más sólida. MFA requiere que los usuarios proporcionen múltiples factores de autenticación para verificar su identidad, lo que proporciona una capa adicional de protección contra el acceso no autorizado.
Sin embargo, los ciberdelincuentes son implacables en su búsqueda de formas de eludir los sistemas MFA. Uno de esos métodos que está ganando terreno son los ataques de spam de MFA, también conocidos como fatiga de MFA o bombardeo de MFA. Este artículo profundiza en los ataques de spam de MFA, incluidas las mejores prácticas para mitigar esta creciente amenaza.
¿Qué es el spam MFA?
El spam MFA se refiere al acto malicioso de inundar el correo electrónico, el teléfono u otros dispositivos registrados de un usuario objetivo con numerosas indicaciones o códigos de confirmación de MFA. El objetivo detrás de esta táctica es abrumar al usuario con notificaciones, con la esperanza de que, sin darse cuenta, apruebe un inicio de sesión no autorizado. Para ejecutar este ataque, los piratas informáticos requieren las credenciales de la cuenta de la víctima objetivo (nombre de usuario y contraseña) para iniciar el proceso de inicio de sesión y activar las notificaciones de MFA.
Técnicas de ataque de spam MFA
Existen varios métodos empleados para ejecutar ataques de spam MFA, que incluyen:
- Utilizar herramientas o scripts automatizados para inundar los dispositivos de las víctimas objetivo con un gran volumen de solicitudes de verificación.
- Emplear tácticas de ingeniería social para engañar al usuario objetivo para que acepte una solicitud de verificación.
- Explotar la API del sistema MFA para enviar una cantidad sustancial de solicitudes de autenticación falsas al usuario objetivo.
Al emplear estas técnicas, los atacantes pretenden explotar cualquier aprobación no intencionada y, en última instancia, obtener acceso no autorizado a información o cuentas confidenciales.
Ejemplos de ataques de spam MFA
Los piratas informáticos aprovechan cada vez más los ataques de spam de MFA para eludir los sistemas MFA. Aquí hay dos ciberataques notables ejecutados con esta técnica:
- Entre marzo y mayo de 2021, los piratas informáticos eludieron la La empresa Coinbase Autenticación multifactor por SMS, considerada una de las empresas de intercambio de criptomonedas más grandes del mundo, y robó criptomonedas a más de 6.000 clientes.
- En 2022, los piratas informáticos inundaron Cripto.com Clientes con una gran cantidad de notificaciones para retirar dinero de sus billeteras. Muchos clientes aprueban las solicitudes de transacciones fraudulentas sin darse cuenta, lo que genera una pérdida de 4.836,26 ETH, 443,93 BTC y aproximadamente 66.200 dólares estadounidenses en otras criptomonedas.
Cómo mitigar los ataques de spam de MFA
Mitigar los ataques de spam de MFA requiere la implementación de controles técnicos y la aplicación de políticas de seguridad relevantes de MFA. A continuación se presentan algunas estrategias eficaces para prevenir este tipo de ataques.
Aplique políticas de contraseñas seguras y bloquee las contraseñas infractoras
Para que el ataque de spam MFA tenga éxito, el atacante primero debe obtener las credenciales de inicio de sesión del usuario objetivo. Los piratas informáticos emplean varios métodos para adquirir estas credenciales, incluidos ataques de fuerza bruta, correos electrónicos de phishing, relleno de credenciales y compra de credenciales robadas o violadas en la web oscura.
La primera línea de defensa contra el spam MFA es proteger las contraseñas de sus usuarios. La política de contraseñas de Specops con protección de contraseña infringida ayuda a evitar que los usuarios utilicen credenciales comprometidas, reduciendo así el riesgo de que los atacantes obtengan acceso no autorizado a sus cuentas.
Capacitación del usuario final
El programa de capacitación para usuarios finales de su organización debe enfatizar la importancia de verificar cuidadosamente las solicitudes de inicio de sesión de MFA antes de aprobarlas. Si los usuarios encuentran una cantidad significativa de solicitudes de MFA, esto debería generar sospechas y servir como una pista potencial de un ciberataque dirigido. En tales casos, es fundamental educar a los usuarios sobre las medidas inmediatas que deben tomar, que incluyen restablecer las credenciales de sus cuentas como medida de precaución y notificar a los equipos de seguridad. Al aprovechar una solución de autoservicio para restablecer contraseñas como Specops uReset, los usuarios finales obtienen la capacidad de cambiar rápidamente sus contraseñas, minimizando efectivamente la ventana de oportunidad para ataques de spam MFA.
Limitación de velocidad
Las organizaciones deben implementar mecanismos de limitación de velocidad que restrinjan la cantidad de solicitudes de autenticación permitidas desde una sola cuenta de usuario dentro de un período de tiempo específico. Al hacerlo, los scripts o bots automatizados no pueden abrumar a los usuarios con una cantidad excesiva de solicitudes.
Monitoreo y alerta
Implemente sistemas de monitoreo sólidos para detectar y alertar sobre patrones inusuales de solicitudes de MFA. Esto puede ayudar a identificar posibles ataques de spam en tiempo real y permitir que se tomen medidas inmediatas.
Conclusiones clave
Para protegerse eficazmente contra el spam de MFA, las organizaciones deben priorizar prácticas de seguridad sólidas. Una táctica eficaz es reforzar las políticas de contraseñas y bloquear el uso de contraseñas comprometidas. La implementación de una solución como la función de protección de contraseña infringida de Specops Password Policy puede ayudar a las organizaciones a lograrlo.
Pruébelo gratis aquí y vea cómo puede mejorar la seguridad de su contraseña y proteger su organización contra ataques de spam MFA.