¿Son todos los sistemas MFA seguros?
La revista Vice, popular por su su periodismo alternativo y reportajes extremos, publicó el pasado mes de marzo un artículo con un experimento que levantó revuelo en la comunidad de ciberseguridad: el periodista Joseph Cox pagó a un hacker para que intentara hacerse con sus cuentas sin tener en su poder ninguno de sus dispositivos físicos como el teléfono móvil. El resultado es que no solo lo consiguió con gran facilidad, sino que tan solo le costó los 16 dólares que cuesta una herramienta legítima que se vende al público.
El ciberatacante, llamado Lucky225, logró hacerlo sin hackear la tarjeta SIM, que suele ser el método más común en estos casos. En lugar de eso, se aprovechó de una Autenticación Multifactor (MFA) que demostró no ser suficientemente segura. ¿Cómo? Simplemente, empleó una herramienta de campañas de marketing llamada Sakari, que sirve para que las empresas envíen SMS masivos a listados de números de móviles con fines comerciales. Lucky 225 envió a Sakari una Carta de Autorización (Letter of Autorization) rellena de datos falsos y en la que afirmaba que él era el propietario del número de teléfono del periodista. De esta manera, los SMS dirigidos a la víctima del experimento comenzaron a ser desviados a la aplicación y a dejar de ser recibidos por el propio teléfono móvil. Con ello, ya pudo acceder a muchas de sus cuentas online: solo tuvo que pedir nuevas contraseñas y los SMS que envían los portales con la clave para restaurarlas le llegaban directamente a él.
Este suceso es una muestra de la inseguridad de algunos de estos sistemas. Sin embargo, es importante destacar que no todos los sistemas de autenticación multifactor son iguales, tal y como explicó nuestro director del área de autenticación de Watchguard Alexandre Cagnoni, en un artículo de Dark Reading.
En este caso, Lucky 225 se aprovechó de los métodos de autenticación multifactor OTP (One Time Passwords) por SMS que todavía utilizan muchas compañías, pero como recuerda Cagnoni, esta modalidad genera para los usuarios una falsa sensación de seguridad. Además, tal y como abordamos en nuestro blog de Secplicity, los estudios más recientes demuestran que conllevan muchos riesgos de suplantación o falsificación de la autenticación y por ello, deberían ser descartados.
Métodos seguros
En cambio, existen otros métodos alternativos que minimizan los riesgos, como las soluciones de autenticación multifactor Authpoint de Watchguard. Su servicio de autenticación por móvil genera una clave única cifrada, contiene un reloj interno para asegurar que sean temporales y utiliza el “ADN móvil” para verificar el teléfono de cada usuario en el momento de otorgar el acceso a sistemas y aplicaciones: de esta manera, se bloquearía a cualquier atacante que clone el dispositivo de un usuario si intenta acceder a un sistema protegido, ya que el ADN del dispositivo sería diferente. Además, mediante la aplicación por móvil ofrece tres tipos de autenticación:
- Autenticación por Push: Autenticación segura con aprobación en un solo paso/toque. Permite ver quién intenta autenticarse y dónde, y puede bloquear el acceso no autorizado a los recursos.
- Autenticación basada en código QR: se usa la cámara del móvil para leer un código QR único y cifrado, con una prueba que solo se puede leer con la aplicación. Para finalizar la autenticación, es necesario escribir la respuesta.
- Contraseña de un solo uso basada en tiempo (OTP): se recibe la contraseña dinámica de un solo uso basada en tiempo según se muestra e introdúzcala durante el inicio de sesión
Por otro lado, WatchGuard también ofrece otro método entre sus soluciones Authpoint: se trata de los Tokens de Hardware: unos dispositivos electrónicos sellados que generan contraseñas seguras de un solo uso (OTP) cada 30 segundos. Las empresas pueden con ellos usar este método como una alternativa a los token móviles para autenticar recursos protegidos.
Además, la ventaja de todas estas soluciones para las organizaciones es que pueden administrarse los tokens, permisos e inicios de sesión de cada usuario en un portal en la nube, basado en Watchguard Cloud. Así, tendrán un informe detallado con todos los accesos de los usuarios y podrán denegarlos cuando se perciba algún riesgo de ciberseguridad. Con todo ello, las organizaciones podrán minimizar los riesgos de situaciones que generan los MFA inseguros, como el que nos ha enseñado el reportaje de Vice.