Imagen: Getty/MoMo Productions
A menudo se dice que lo más importante que puede hacer para proteger sus cuentas y su red en general de los piratas informáticos es utilizar la autenticación multifactor (MFA).
Esto se debe a que una de las formas más comunes en que los ciberdelincuentes violan las redes es mediante ataques de phishing para robar contraseñas o simplemente adivinando cuáles son débiles. De cualquier manera, siempre que utilicen una contraseña real, muchos sistemas asumirán que es seguro darles acceso.
MFA crea una barrera adicional para los atacantes porque requiere que el usuario verifique adicionalmente que el intento de inicio de sesión realmente fue realizado por ellos. Esta verificación puede realizarse mediante un mensaje SMS, una aplicación de autenticación o incluso una clave de seguridad física. Si el atacante tiene la contraseña, pero no el mensaje de verificación o el dispositivo físico, entonces el sistema no le permitirá entrar y no podrá seguir adelante.
El uso de MFA protege contra la gran mayoría de los intentos de apropiación de cuentas, pero recientemente ha habido un aumento en los ataques cibernéticos que tienen como objetivo eludir la seguridad de autenticación multifactor. Según Microsoft, en tan solo una campaña, 10.000 organizaciones han sido atacadas de esta manera durante el último año.
Una opción para los piratas informáticos que quieren eludir MFA es utilizar el llamado ataque adversario en el medio (AiTM), que combina un ataque de phishing con un servidor proxy entre la víctima y el sitio web al que intentan iniciar sesión. . Esto permite a los atacantes robar la contraseña y la cookie de sesión, lo que proporciona un nivel adicional de autenticación que pueden explotar (en este caso, para robar correo electrónico). El usuario simplemente cree que ha iniciado sesión en su cuenta como de costumbre.
“Tenga en cuenta que esto no es una vulnerabilidad en MFA; dado que el phishing AiTM roba la cookie de sesión, el atacante se autentica en una sesión en nombre del usuario, independientemente del método de inicio de sesión que utilice este último”, como señala Microsoft sobre esa campaña en particular. .
Esto se debe a que los atacantes no han roto el MFA ellos mismos, han logrado eludirlo robando las cookies y ahora pueden usar la cuenta como si fueran el usuario, incluso si se van y regresan más tarde. Eso significa que, a pesar de la presencia de autenticación multifactor, lamentablemente se está volviendo redundante en esta situación, y eso es malo para todos.
VER: Una estrategia ganadora para la ciberseguridad (Informe especial de )
Entonces, si bien la autenticación multifactor es un elemento disuasorio la mayor parte del tiempo, estos ataques demuestran que no es infalible.
“Aunque las funciones de seguridad como la autenticación multifactor (MFA) añaden una capa adicional de seguridad, no deben considerarse como una solución milagrosa para proteger contra ataques de phishing. Con el uso de kits de phishing avanzados (AiTM) y técnicas de evasión inteligentes , los actores de amenazas pueden eludir tanto las soluciones de seguridad tradicionales como las avanzadas”, afirmó la empresa de seguridad ZScaler en su análisis de un ataque similar.
Y hay otros escenarios que también pueden aprovecharse para eludir la autenticación multifactor, porque en muchos casos se requiere un código y una persona debe ingresar ese código. Y las personas pueden ser engañadas o manipuladas incluso cuando la tecnología intenta protegernos.
“Al final del día, ya sea un número o una pieza de información, tan pronto como el usuario lo ve, se convierte en algo que sabe y si es algo que sabe, es algo que el atacante puede robar”, dice Etay Maor. , director senior de estrategia de seguridad de Cato Networks.
Se necesita un poco más de esfuerzo por parte del atacante, pero es posible obtener estos códigos. Por ejemplo, la verificación por SMS sigue siendo un método común de MFA para muchos, particularmente para cosas como cuentas bancarias y contratos telefónicos. En algunos casos, el usuario debe leer un código por teléfono o ingresarlo en un servicio.
Es un proceso potencialmente complejo, pero es posible que los ciberdelincuentes falsifiquen las líneas de ayuda y otros servicios que solicitan códigos para los dispositivos, especialmente si las personas creen que están hablando con alguien que está tratando de ayudarlos. Es por eso que muchos servicios anteponen un código SMS con una advertencia de que nunca lo llamarán para solicitarlo.
“No es sorprendente que los atacantes se aprovechen del aspecto humano, los componentes humanos del sistema. La gente está ocupada, la gente está estresada, todo tipo de cosas influyen en las decisiones que tomamos”, dice Oz Alashe, director ejecutivo y fundador de CybSafe.
VER: La mayor amenaza del cibercrimen es también aquella de la que nadie quiere hablar
Otro método que los ciberdelincuentes pueden aprovechar para eludir MFA es mediante el uso de malware que roba códigos activamente. Por ejemplo, los piratas informáticos podrían obtener acceso a una cuenta mediante el uso de malware troyano para observar cómo un usuario obtiene acceso a su cuenta y luego utilizar el acceso que tienen desde el dispositivo infectado para realizar sus actividades.
También existe la posibilidad de que tomen el control de los dispositivos sin que la víctima lo sepa, utilizando la aplicación de autenticación y el código proporcionado para acceder de forma remota a la cuenta que buscan desde otra máquina.
En lo que respecta a la red o cuenta, debido a que la autenticación se ha utilizado correctamente, es el usuario legítimo el que utiliza el servicio. Pero hay señales que los equipos de seguridad de la información y las redes podrían tener en cuenta, señales de que algo podría no estar bien, incluso si se utilizan los detalles correctos.
“El sistema en sí debería considerar si esta persona normalmente no inicia sesión desde aquí o en este momento y, por lo tanto, ¿necesitamos hacer otro nivel, otra capa de verificación antes de brindarle acceso?” dice Alashe.
Si bien no es totalmente infalible, el uso de la autenticación multifactor sigue siendo imprescindible, ya que detiene una cantidad significativa de intentos de apropiación de cuentas. Pero a medida que los ciberdelincuentes se vuelven más inteligentes, irán cada vez más tras ellos, y eso requiere niveles adicionales de defensa, particularmente por parte de aquellos responsables de proteger las redes.
“Es bueno que se recomiende porque no será la fruta más fácil. Pero definitivamente necesita aumentarla con capas adicionales de seguridad porque, al igual que cualquier otra solución de seguridad aislada, se puede eludir y no se puede Creo que todo es seguro, sólo gracias a una capa de seguridad”, afirma Maor.
Y la tecnología no puede hacer mucho, especialmente cuando los atacantes intentan explícitamente manipular a las personas para que tomen malas decisiones. Eso también debe tenerse en cuenta, especialmente a medida que más de lo que hacemos se desplaza hacia la nube y otros servicios en línea.
“Este es un desafío realmente importante para la sociedad en este momento, a medida que nos digitalizamos cada vez más, tenemos una oportunidad increíble de continuar dándole un buen uso a la tecnología. Pero también tenemos que abordar estos desafíos en lo que respecta a la resiliencia y el aspecto humano. “, dice Alashe.
“La gente es maravillosa, quiere ayudar, por lo que a veces los engañan”, añade.
MÁS SOBRE CIBERSEGURIDAD