Vulnerabilidades en la autenticación multifactor: riesgos habituales y estrategias para blindarse

Imagen: Zdzisław Beksiński


Por Víctor Ruiz, fundador de SILIKN, Instructor Certificado en Ciberseguridad (CSCT™), (ISC)² Certified in Cybersecurity℠ (CC), EC-Council Ethical Hacking Essentials (EHE) Certified, EC-Council Certified Cybersecurity Technician (CCT), Ethical Hacking Certified Associate (EHCA), Cisco Ethical Hacker y líder del Capítulo Querétaro de la Fundación OWASP.

Aunque los beneficios de la autenticación multifactor (MFA) en la seguridad son ampliamente reconocidos, su implementación sigue siendo deficiente, esporádica e inconsistente, lo que genera frustración tanto en los responsables de seguridad empresarial como en los usuarios. Con frecuencia, la MFA añade una carga adicional a los usuarios debido a los factores extra que deben gestionar, lo que se convierte en uno de los principales obstáculos para su adopción y éxito continuos.

No obstante, hay avances positivos. Los métodos de autenticación multifactor han mejorado en términos de facilidad de uso, impulsados por la creciente popularidad y sofisticación de los enfoques sin contraseñas. La pandemia también motivó a los equipos de TI a fortalecer sus prácticas de autenticación, promoviendo un uso más amplio y constante de la MFA en todas las aplicaciones. Sin embargo, en México, aunque uno de cada tres usuarios habituales emplea regularmente métodos de autenticación multifactor, el 77.3% de las pequeñas y medianas empresas (PyMEs) no implementan ninguna autenticación multifactor debido a la falta de gestión o políticas internas.

¿Cuáles son algunas de las fallas más comunes en el uso de la MFA?

Una de las fallas más frecuentes es la fatiga de MFA o “bombardeo push”, que ocurre cuando se envían múltiples solicitudes de autorización, generalmente a través de mensajes push o SMS, hasta que el usuario, abrumado, termina aprobando una solicitud y permitiendo el acceso a un atacante. Ironicamente, cuanto más se utiliza MFA en una organización, mayor es la probabilidad de que un ataque de este tipo tenga éxito.

Los atacantes también combinan técnicas de ingeniería social y phishing para interrumpir el proceso de autenticación y engañar a los usuarios para que entreguen sus tokens de MFA. Suelen aprovechar eventos de gran relevancia, como elecciones, pandemias, el Mundial de Fútbol, el Super Bowl o la Ceremonia de los Oscars, para lanzar estos ataques.

Otra amenaza común es dirigirse a usuarios y aplicaciones que no utilizan MFA y que tienen contraseñas débiles. Aunque la adopción de MFA ha mejorado, aún está lejos de ser universal, y los atacantes aprovechan estas brechas para focalizar sus esfuerzos en los puntos y usuarios menos protegidos.

Aunque no se puede abordar exhaustivamente todas las debilidades de la MFA, en general, se pueden clasificar en las siguientes categorías:

Seguridad móvil deficiente. Los teléfonos móviles son un punto de entrada crítico para las redes corporativas, y los atacantes emplean diversas técnicas para explotarlos, como el intercambio de SIM. En este caso, un atacante puede engañar a un representante de servicio al cliente de una empresa de telecomunicaciones para hacerse pasar por el propietario legítimo del teléfono, y luego utilizar SMS para acceder a los mensajes de autenticación. Otros métodos incluyen ataques directos a las redes de los proveedores de telefonía celular.

Flujos de trabajo de autenticación MFA comprometidos. El flujo de trabajo de autenticación moderno es complejo y diverso. Los usuarios pueden acceder a una aplicación a través de un portal web, una aplicación móvil o una interfaz de programa de aplicación, utilizando distintos dispositivos y sistemas operativos, conectándose desde redes locales o VPNs. Esta diversidad implica que las pruebas de MFA deben considerar todas estas variables, lo que aumenta el riesgo de problemas en la cadena de suministro y la posibilidad de ataques de intermediario que intercepten los códigos MFA.

Ataques mediante cookies comprometidas. Métodos como “Pass-the-Cookie” y el robo de cookies de sesión permiten a los atacantes eludir la MFA. Esto ocurre porque muchos sitios web no imponen límites de tiempo para la inactividad de la sesión, lo que les da a los atacantes la oportunidad de aprovechar las cookies robadas para acceder sin necesidad de autenticación adicional.

¿Cuáles son algunas recomendaciones para detener los ataques MFA?

Primero, es esencial identificar los recursos que se desean proteger contra ataques. Los ciberatacantes suelen dirigirse a sistemas de correo electrónico, servidores de archivos y plataformas de acceso remoto para infiltrarse en los datos de una organización. Además, a menudo intentan comprometer servidores de identidad como Active Directory, lo que les permitiría crear nuevas cuentas o tomar control de cuentas de usuario existentes.

Es recomendable priorizar la implementación de sistemas que soporten protocolos FIDO para los recursos más críticos. Esto incluye el uso de llaves de hardware para proteger aplicaciones sensibles. La FIDO Alliance ha publicado guías técnicas para ayudar a las empresas en la adopción de estos métodos, y RSA ofrece un análisis profundo sobre el tema.

Asimismo, todas las autenticaciones deben estar basadas en el riesgo y ajustarse dinámicamente según lo que los usuarios estén haciendo en un momento determinado. Las antiguas prácticas de utilizar un único control de acceso al iniciar sesión deben reemplazarse por soluciones más avanzadas. Actualmente, existen varios productos de autenticación que incorporan MFA en sus procesos de autenticación adaptativa.

Otro aspecto crucial es la revisión cuidadosa de los derechos de acceso. El equipo de seguridad informática debe asegurarse de que los empleados solo tengan acceso a los datos necesarios para cumplir con sus responsabilidades laborales. Con demasiada frecuencia, se otorgan privilegios de acceso sin una auditoría posterior ni reducción de estos derechos cuando ya no son necesarios.

El proceso de restablecimiento de contraseñas también merece atención, ya que es un objetivo común para los atacantes. Muchos sitios web no ofrecen una segunda capa de verificación en el proceso de restablecimiento de contraseñas, o aunque ofrezcan MFA, no obligan a los usuarios a utilizarlo.

Además, es importante identificar y proteger a los usuarios que podrían ser objetivos de alto valor dentro de la organización. Cuentas como las de administradores de TI, abogados de la empresa y gerentes de recursos humanos, que tienen acceso o privilegios adicionales, son especialmente atractivas para los ciberatacantes. Estas cuentas deberían ser consideradas como prioridad en las fases iniciales de la implementación de MFA.

Finalmente, la tecnología MFA debería integrarse como una parte fundamental de la infraestructura de seguridad corporativa. Los recientes ataques, junto con las recomendaciones de expertos tanto del gobierno como del sector privado, subrayan la importancia de implementaciones inteligentes de MFA.

Para más información, visite: https://www.silikn.com/