Los ciberdelincuentes pueden eludir la autenticación multifactor | Te mostramos cómo
Hace algún tiempo, las organizaciones de Software como Servicio o SaaS, por sus siglas en inglés, han reforzado su ciberseguridad, al momento de permitir que un usuario acceda a una cuenta en cualquier sitio, aplicación, plataforma o servicio Cloud.
¿Cómo se pudo lograr? Con la implementación de la autenticación multifactor, también conocida como MFA o Multi-Factor Authentication. Dicho mecanismo a los usuarios que deben introducir una contraseña para acceder a la cuenta, además de utilizar otro factor de autenticación: un código que se recibe por mensajes de texto (SMS) o por llamada.
También, puede recibirse un token para validar el acceso mediante una aplicación de autenticación, entre otros. Esto tiene como objetivo comprobar que el usuario que quiere acceder a una cuenta es quien dice ser y no un ciberdelincuente que ha robado su contraseña y sus datos.
Como suele suceder en el campo de la seguridad informática, los hackers maliciosos están desarrollando tácticas, estrategias y procedimientos para tratar de eludir la autenticación multifactor y de esta manera, acceder a cuentas de usuario de toda clase de servicios.
Hace unos días se hizo pública la actividad de una plataforma de Phishing-as-a-Service, llamada Tycoon 2FA, la cual ofrece paquetes maliciosos que permiten eludir la autenticación multifactor, para acceder a las cuentas de usuario de Microsoft 365 y Gmail.
El procedimiento, el cual ha sido diseñado y comercializado por este grupo de cibercriminales, combina la creación de páginas destinadas al phishing que simulan ser páginas legítimas de acceso a las aplicaciones, además del uso de proxys inversos que se alojan en estas mismas páginas.
De esta forma, los ciberdelincuentes son capaces de engañar a sus víctimas para que escriban sus credenciales de acceso y lograr interceptar cookies o tokens generados, para acceder a las cuentas de forma ilegal y eludiendo cualquier sistema de seguridad.
Este caso no es raro, sumándose a otra clase de campañas de ataques, llamados Attack-in-the-Middle, los cuales están paquetizados por múltiples grupos de hackers maliciosos. Entre sus objetivos se ubican las cuentas de gigantes tecnológicos y entidades financieras.
Otro tipo de ataques empleados por actores maliciosos para eludir la autenticación multifactor es el bombardeo de prompts o la fatiga de MFA. Consiste en que los ciberdelincuentes obtienen el usuario y la contraseña de una persona, introduciendo estos datos en la página de registro legítima de una aplicación, empleando mucho intentos para esto.
Como la aplicación tiene implementada la autenticación multifactor, por cada solicitud se envía un mensaje a la persona dueña de las credenciales para que valide el proceso de inicio de sesión. A través de esta táctica, los hackers maliciosos buscan que el usuario autorice el acceso por error, haciendo clic en un enlace o por cansancio, para que deje de recibir notificaciones.
El ataque más famoso de este tipo lo sufrió nada menos que la empresa Uber, hace casi 2 años. El grupo criminal Lapsus$ fue capaz de acceder a la red de la organización mediante las credenciales VPN de un proveedor.
Una vez que los actores maliciosos se hicieron con las credenciales, intentaron acceder innumerables veces a la cuenta de Uber del proveedor. Como la autenticación multifactor estaba habilitada, se generaron un sinfín de solicitudes de aprobación de registro e inicio de sesión, como modalidad del segundo factor.
De esta forma, el proveedor no validó ninguna solicitud de inicio de sesión. Ante esto, los ciberdelincuentes contactaron con dicho proveedor, haciéndose pasar por servicio técnico de la compañía, con el objetivo de conseguir que validara la solicitud de acceso a la cuenta.
