¿Cómo evitar ataques por bombardeo de MFA?
El bombardeo por Auténticación Multifactor (MFA Prompt bombing) constituye la mayor prueba de que no todas las soluciones MFA son seguras. Se trata de una técnica de ingeniería social que en las últimas semanas está generando mucho interés debido a recientes grupos de ciberatacantes que la han utilizado con éxito, como el que realizó Lapsus$.
La técnica consiste en que los hackers suplantan a una compañía cuyo software tiene un sistema MFA para que los usuarios se identifiquen y puedan acceder a sus servicios y soluciones. Esta suplantación la efectúan mediante un bombardeo de notificaciones con supuestas peticiones de identificación que simulan ser un procedimiento del MFA del programa, cuando en realidad, si el usuario cae en la trampa creyendo que se lo pide esa empresa y lo pulsa, le está dando acceso a los ciberatacantes a sus sistemas.
Para ello, lo realizan de varias formas: pueden enviar reiteradamente una petición online para para que el usuario “acepte” la solicitud de identificación, creyendo que así mantiene su acceso a esos servicios. En otras ocasiones, hacen esto mismo, pero con una frecuencia mucho menor (una o dos veces al día) para levantar menores sospechas. Incluso se han dado casos de llamadas por teléfono a un usuario concreto haciéndose pasar por empleado de esa compañía y diciéndole que le enviarán una petición MFA, con el fin de que así desconfíe menos. Pero, ¿Cuál es la manera de evitar estos ataques por bombardeo?
- En primer lugar y como suele ocurrir con todas las técnicas de ingeniería social, la desconfianza de los usuarios y la formación en ciberseguridad son claves y constituyen la primera línea de defensa. En este sentido, los empleados de una organización no deberían aceptar nunca una notificación push de identificación para acceder a sus programas, tanto si no solicitaron el acceso en ese momento como si proviene de otra ubicación. Ante la duda, lo mejor es que contacten e informen de ello a los responsables de IT y, mientras tanto, desactiven en esas notificaciones.
- En segundo lugar y relacionado con las notificaciones push, precisamente la técnica del bombardeo suele servirse y escalar en soluciones MFA donde no hay una primera validación con una contraseña o se usa como autenticación única sin contraseña. Esto no quiere decir que una organización no pueda facilitar un sistema de notificación push para sus empleados como procedimiento de MFA, solo que debe proporcionar formas de controlarlo o al menos monitorizar su incidencia y bloquearlo.
Sin embargo, sí es recomendable que cuente con una solución avanzada de protección y gestión de identidades que tenga como funcionalidad controlar en todo momento qué empleados eligieron las notificaciones push y que notifique si bloquean alguna de éstas eincluso que tenga mecanismos adicionales para dar facilidades a los empleados en caso de que reciba muchas notificaciones, como que puedan bloquearlas durante un periodo de tiempo. Además, el acceso para esa solución de gestión de identidades tendría que ser por contraseña, de tal forma que así un ciberatacante no podría emplearlo para el bombardeo de su objetivo al no conocer previamente la contraseña de esta solución.
De esta manera, la organización tendrá un control completo de sus identidades, activos, cuentas e información sin temor a que la puedan suplantar por bombardeo u otras técnicas para entrar sus sistemas utilizando el engaño en procedimientos de MFA.