Desconfianza: la autenticación multifactor no te protege completamente de los piratas informáticos

El reciente hackeo de Uber demostró una vez más que los sistemas de autenticación de múltiples factores no siempre son efectivos contra los ciberdelincuentes, quienes usan nuevas técnicas para tratar de engañarte.

No podemos decirlo lo suficiente: es esencial utilizar la autenticación multifactor en todos los servicios en línea que la ofrecen. Como recordatorio, esta solución, un poco más restrictiva, es cierto, consiste en crear un segundo bloqueo que limita radicalmente las posibilidades de piratear su cuenta, a través de una aplicación, un SMS o una contraseña de seguridad.

Así, aunque un ciberdelincuente consiga recuperar tu contraseña de alguna forma, se enfrentará a este segundo muro, mucho más difícil de superar para acceder a tu cuenta.

"Fatiga MFA", una técnica brutal pero efectiva

Más difícil, pero lamentablemente no imposible, como muestra el reciente hackeo de Uber . De hecho, el hacker del gigante VTC logró eludir la doble autenticación que, sin embargo, se activó en el teléfono inteligente del proveedor al que apuntaba.

Y su técnica era caballerosa por decir lo menos. Primero logró recuperar su contraseña, que supuestamente adquirió de un foro dudoso de la Dark Web. Luego tuvo que eludir la protección del segundo factor de autenticación. Para ello, no se pasó de la raya: simplemente "enviaba spam" a su víctima con solicitudes de conexión: el proveedor de servicios las recibía "en secuencia" en su móvil, probablemente a través de una aplicación como Microsoft Authenticator. El proveedor de servicios de Uber rechazó sus solicitudes en varias ocasiones, pero, sin duda por descuido o por cansancio de ver aparecer todas estas notificaciones, terminó aprobando una… y así entregó las claves de su cuenta al hacker.

Esta técnica, aunque no muy elaborada, está en auge. Microsoft, que se comunicó a raíz del ataque de Uber, muestra que el "spam" de las solicitudes de MFA ( Autenticación multifactor) por parte de los ciberdelincuentes ha ido en aumento durante varios meses. Y toma medidas con calma para tratar de limitar la rotura.

Crédito: Microsoft // La aplicación Authenticator de Microsoft presenta un número y un mapa que muestra de dónde proviene la solicitud de acceso. Una buena manera de evitar el acceso de spam desde MFA

Entonces, Authenticator pronto requerirá que todos los usuarios ingresen un código que aparece en el dispositivo que solicitó la autenticación. Imposible, de esta forma, validar la conexión sin darse cuenta... y al mismo tiempo complicar la tarea del hacker. El autenticador también presentará un mapa que muestra dónde se originó la solicitud, lo que facilita la detección de una solicitud dudosa.

El phishing no ha dicho su última palabra

La fatiga de MFA no es la única forma de eludir la autenticación de dos factores. Y ahora existen soluciones “llave en mano” que facilitan mucho que los ciberdelincuentes te engañen.

Este es particularmente el caso de EvilProxy, del que os hablamos hace unas semanas . Este servicio de phishing, ofrecido por suscripción en muchos foros frecuentados por ciberdelincuentes, es endiabladamente inteligente: actúa como una puerta de enlace entre usted y un servicio legítimo, como los de Google, Microsoft o Facebook, por ejemplo.

Ingresas tu contraseña y luego tu segundo factor de autenticación en un sitio que parece dos gotas de agua en comparación con la realidad... Pero obviamente es una página web falsa. Detrás de escena, EvilProxy se comunicará con el sitio real, recopilando todo el tráfico y sus datos de inicio de sesión.

Para protegerse contra este ataque, las buenas técnicas antiguas siguen estando a la orden del día: verifique siempre la dirección del sitio antes de ingresar sus credenciales y asegúrese de que sea legítimo.

Los métodos de los ciberdelincuentes para secuestrar la autenticación de dos factores muestran una cosa: es hora de poner fin a las contraseñas y su débil seguridad, que MFA está lejos de corregir por completo. Afortunadamente, las cosas finalmente se están moviendo. Google, Apple, Microsoft han adoptado el estándar Multi-Device Fido , que pronto debería brindarnos, al menos en muchos servicios populares, un sistema de autenticación más fácil y seguro que nos protegerá de los intentos de phishing y robo de contraseñas. Es hora.

Si quieres conocer otros artículos parecidos a Desconfianza: la autenticación multifactor no te protege completamente de los piratas informáticos puedes visitar la categoría Seguridad.