Blog de WatchGuard

Phishing de MFA: el ataque que compromete las redes de grandes empresas

Desde hace algún tiempo, una de las principales modalidades utilizadas por los delincuentes para llevar a cabo un ciberataque exitoso es el uso del conocido phishing. Esta táctica, que pretende engañar a los usuarios para que revelen información confidencial, es bien conocida entre los cibercriminales para obtener acceso no autorizado a las cuentas de los usuarios y comprometer las redes corporativas. Ahora, un nuevo tipo de phishing ha surgido para evadir la principal protección de las redes empresariales: el phishing de MFA.

El informe SANS 2022 Managing Human Risk, indica que la última línea de defensa contra ciberataques son simplemente las personas. Una de las principales conclusiones del estudio señala que la gestión del riesgo humano será cada vez más fundamental para la ciberseguridad del futuro, en especial cuando se trata de los ataques para ingresar a las redes corporativas. Con esta tendencia, se vuelve cada vez más crítico el uso de una solución MFA (Autenticación Multifactor) resistente al phishing.

En septiembre del año pasado, Uber sufrió un ciberataque a sus sistemas tras el hecho de que un actor malicioso comprometiera exitosamente la cuenta de un contratista de la empresa. Después de investigar el incidente, la compañía concluyó que el cibercriminal probablemente compró la contraseña corporativa de su objetivo en la Dark Web, luego de que su dispositivo personal se infectara con malware, exponiendo sus credenciales. Tras lo cual, el atacante inició un ataque de phishing de MFA, donde la fatiga de esta solución consiguió que el usuario acabara aceptando una de las solicitudes, resultando en un inicio de sesión exitoso.

Este es un ejemplo de la mayor vulnerabilidad de la ciberseguridad: las personas. La realidad es que, las soluciones de seguridad muchas veces requieren de interacción humana y las personas pueden ser víctimas de un engaño como la ingeniería social o el phishing.

¿Cómo funciona el phishing de MFA?

El phishing de MFA es un tipo de ataque en el que un ciberdelincuente intenta engañar a un usuario para que revele información confidencial de su método de autenticación o intervenga en la aprobación fraudulenta de la solicitud de ingreso producida por su solución de MFA.

Para conseguir realizar un ataque de phishing de MFA, en primer lugar, es necesario obtener las credenciales del objetivo. El robo de credenciales puede ocurrir a través de varios medios, incluyendo una combinación de los siguientes:

  • Ataques de phishing: los cibercriminales suelen emplear el uso de correos electrónicos y sitios web falsos, que parecen reales, para obtener información sensible de víctimas desprevenidas. Posteriormente, el atacante puede utilizar esta información para robar las credenciales de inicio de sesión.

  • Ataques automatizados: consiste en el uso de software malicioso para acceder a las credenciales de un usuario sin su conocimiento. Una nueva combinación que parece tener éxito, y que influye en la creciente demanda de infostealers en la Dark Web, es el uso de este malware para obtener las credenciales de un usuario, con un posterior ataque de fatiga de MFA para obtener acceso a las redes corporativas.
  • Ataques de fuerza bruta: para llevar a cabo un ataque de fuerza bruta, los ciberdelincuentes utilizan programas automatizados que pueden adivinar sistemáticamente contraseñas, nombres de usuario y otras credenciales que ofrecen acceso a diferentes cuentas. El relleno de credenciales (credential stuffing) es un tipo de ataque de fuerza bruta que se refiere a la prueba de pares de nombre de usuario y contraseña obtenidos de la brecha de datos de otro sitio.
  • Ingeniería social: con la ingeniería social, los atacantes buscan ganarse la confianza del usuario para manipularle y así conseguir sus credenciales.

Una vez que el atacante obtiene las credenciales de su objetivo a través de estas tácticas, puede utilizar metodologías similares para llevar a cabo el phishing de MFA. En este sentido, pueden emplear el phishing de SMS o de correo electrónico para intentar engañar a su objetivo y conseguir que revele el código de autenticación de MFA que se envía por estos medios. Del mismo modo, es posible que utilicen un ataque de suplantación de identidad, donde el actor de la amenaza se hace pasar por alguien confiable, como un empleado legítimo de una empresa, que solicita al usuario revelar su información de inicio de sesión, junto a su código de MFA.

Por lo general, este tipo de ataques es más efectivo para aquellas soluciones MFA que hacen uso de los códigos de un solo uso, pero puede ser más difícil conseguir que el usuario apruebe una solicitud desde la aplicación en su dispositivo móvil. Por esta razón, ha ganado popularidad el ataque de phishing de MFA que ha conseguido comprometer las redes corporativas de grandes empresas como Uber o Cisco: la fatiga de MFA.

Con esta táctica los cibercriminales pueden enviar múltiples notificaciones push (emergentes) al dispositivo móvil de su objetivo. Luego, el usuario, al verse abrumado por la cantidad de solicitudes de autenticación de MFA que recibe, puede comenzar a ignorar, desactivar esta medida de seguridad o incluso otorgar acceso sin quererlo, resultando víctima de un ataque de phishing de MFA.

Las empresas necesitan una solución resistente al phishing de MFA

Ante la escalada de esta modalidad de ataque, es necesario contar con una solución que sea capaz de proteger contra la fatiga de MFA. Contar con una herramienta que permita a los usuarios tomar medidas al recibir notificaciones push inesperadas reduce la posibilidad de la aprobación accidental de accesos no autorizados. Sin embargo, para añadir funcionalidades de este tipo a las soluciones existentes se debe tomar en cuenta la fricción del usuario final. Si esta fricción es elevada, es posible que el usuario final opte por evitar o ignorar la seguridad, dejando las redes empresariales expuestas a actores maliciosos.

Por esta razón, AuthPoint de WatchGuard ha evolucionado para enfrentarse a las nuevas amenazas avanzadas y ahora permite a los usuarios desactivar las notificaciones push con la finalidad de reducir la fatiga de MFA. Así, de forma sencilla y sin incorporar factores de verificación adicionales, si un usuario deniega la primera solicitud de autenticación, la nueva función [VL1] ofrece desactivarlas por completo evitando que el usuario conceda el acceso accidental a la red corporativa. Al combinar esta funcionalidad con otras, como la restricción de políticas, se incrementa la seguridad para evitar los accesos no autorizados.

El phishing de MFA es una muestra de cómo los ciberdelincuentes siguen encontrando nuevas formas de alcanzar sus objetivos. Hoy en día, la única forma de prevenir estos ataques, desde un punto de vista tecnológico, es implementar una solución de MFA resistente al phishing que disminuya la probabilidad de verse afectado por errores humanos y evite la entrada de cibercriminales a las redes corporativas.

Si quieres conocer más sobre el MFA y cómo contribuye esta tecnología a proteger las redes corporativas, visita los siguientes artículos de nuestro blog: