4 Técnicas de Hackers para eludir MFA con Ingeniería Social

En el ámbito de la seguridad de acceso, la autenticación de dos factores (MFA) se presenta como la recomendación más destacada. Frente a las contraseñas, que los hackers pueden vulnerar con facilidad, la MFA añade un nivel crucial de seguridad contra violaciones. No obstante, es crucial reconocer que la MFA no es completamente a prueba de fallos; puede ser y, de hecho, es burlada con cierta frecuencia.

Cuando una contraseña cae en manos equivocadas, los hackers disponen de varias estrategias para sortear la barrera adicional que supone la MFA. En este artículo analizaremos cuatro métodos de ingeniería social empleados con éxito por los hackers para superar la MFA, destacando la relevancia de mantener contraseñas robustas como elemento de una estrategia de defensa multicapa.

Te podrá interesar:  Navegando en los Desafíos de MFA

1. Intercepción de Comunicaciones por Hackers (AITM)

Los ataques de tipo "Adversario en el Medio" (AITM) consisten en engañar a los usuarios para que piensen que están accediendo a una red, aplicación o sitio web legítimo, cuando en realidad están proporcionando su información a un imitador malicioso. Este engaño permite a los atacantes capturar contraseñas y eludir medidas de seguridad, incluyendo las verificaciones de MFA.

Por ejemplo, un trabajador puede recibir un correo electrónico de phishing que aparenta ser de una fuente de confianza. Al hacer clic en un enlace del mensaje, el empleado es redirigido a un sitio web falso diseñado para recoger sus datos de acceso.

Aunque la MFA está diseñada para bloquear estos intentos al requerir un segundo factor de autenticación, los atacantes han desarrollado métodos como la "interceptación 2FA" para sortearla. Cuando la víctima introduce sus credenciales en el sitio fraudulento, el atacante las usa inmediatamente en el sitio real. Esto genera una petición de MFA legítima que la víctima, esperando el mensaje, aprueba sin darse cuenta, proporcionando al hacker un acceso total.

Esta estrategia es empleada frecuentemente por grupos de ciberamenazas como Storm-1167, quienes son infames por crear imitaciones de las páginas de autenticación de Microsoft para capturar credenciales. Incluso van más allá, creando una página de phishing secundaria que replica el paso de MFA del proceso de inicio de sesión de Microsoft, pidiendo a las víctimas que introduzcan su código de MFA y así conceder el acceso a los atacantes. Con esto, ganan acceso a cuentas de correo electrónico legítimas, desde donde pueden lanzar ataques de phishing en múltiples etapas.

Conoce más sobre:  Storm-1133 Ataca Entidades Israelíes: Revelaciones de Microsoft

2. Saturación de Solicitudes MFA

Este método explota la funcionalidad de notificaciones automáticas de las aplicaciones de autenticación actuales. Tras obtener una contraseña, los atacantes intentan acceder a la cuenta, lo que genera una solicitud MFA al dispositivo del usuario legítimo. La estrategia se basa en la posibilidad de que el usuario, confundido por la legítima solicitud o agobiado por la repetición de notificaciones, acepte la solicitud con la intención de cesar las alertas. Este enfoque, denominado saturación de solicitudes MFA, constituye una seria amenaza.

Un caso destacado involucró al grupo de hackers 0ktapus, quienes lograron acceder a las credenciales de un contratista de Uber a través de un ataque de phishing vía SMS. Procedieron a autenticarse desde un equipo bajo su control y solicitaron de inmediato un código MFA. Acto seguido, se hicieron pasar por el equipo de seguridad de Uber en Slack, persuadiendo al contratista para que aceptara la solicitud MFA en su dispositivo.

Te podrá interesar:  SMS Bomber: Amenaza Silente en el Mundo de los Mensajes de Texto

3. Intrusiones a través del Soporte Técnico

Los atacantes manipulan al soporte técnico para sortear la MFA, simulando haber olvidado su contraseña y logrando acceso mediante llamadas telefónicas. Si los operadores del soporte técnico fallan en aplicar los protocolos de verificación correctamente, pueden proveer inadvertidamente a los hackers un acceso preliminar al entorno corporativo.

Un incidente notable involucró a MGM Resorts, donde el grupo de hackers Scattered Spider se comunicó engañosamente con el servicio de atención al cliente para resetear una contraseña, facilitando así un punto de entrada para ejecutar un ataque de ransomware.

Además, los hackers buscan explotar las configuraciones de recuperación y los procedimientos de respaldo, convenciendo a los soportes técnicos para evadir la MFA. El grupo 0ktapus, por ejemplo, intenta esta táctica contactando a soporte al cliente de la empresa afectada si su intento inicial de saturación MFA falla.

Alegarán problemas con su teléfono o que este se ha perdido, solicitando el registro en un nuevo dispositivo MFA bajo su control. Con esto, buscan manipular los procesos de recuperación o respaldo de la empresa, enviando un enlace de restablecimiento de contraseña al dispositivo comprometido.

4. Fraude por Cambio de SIM

Los hackers son conscientes de que la MFA frecuentemente se apoya en dispositivos móviles para la autenticación. Para aprovechar esto, utilizan el 'fraude por cambio de SIM', una estrategia donde engañan a los operadores de telefonía para que trasladen los servicios de la víctima a una SIM controlada por ellos. Esto les permite tomar control del servicio móvil y número telefónico de la persona, capturando así las solicitudes de MFA y accediendo sin autorización a las cuentas.

Tras un suceso en 2022, Microsoft emitió un informe sobre las tácticas de LAPSUS$, un grupo de ciberamenazas. El documento detalla cómo LAPSUS$ ejecuta campañas de ingeniería social enfocadas en ganar acceso inicial en las organizaciones. Entre sus estrategias preferidas se incluyen los ataques por cambio de SIM, combinados con tácticas de saturación de solicitudes MFA y la manipulación de servicios de soporte técnico para restablecer las credenciales de los objetivos.

Conoce más sobre:  SIM Swapping: Riesgos, Detección y Protección

¿Cómo protegerse?

Para protegerse contra los ataques de ingeniería social y en particular contra las tácticas mencionadas, es crucial adoptar una serie de medidas de seguridad tanto a nivel individual como organizacional. Aquí te presentamos algunas estrategias efectivas:

 

1. Educación y Concienciación en Seguridad

 

1. Capacitación Continua: Realizar sesiones de formación regular para trabajadores sobre los últimos métodos de ataque y cómo evitarlos. Esto incluye reconocer intentos de phishing, pretexting, y otros tipos de engaños.
2. Simulaciones de Phishing: Llevar a cabo pruebas de phishing simuladas para enseñar a los empleados a identificar intentos de fraude.

 

Te podrá interesar:  Concientización: Esencial en la Ciberseguridad de tu Empresa

 

2. Políticas y Procedimientos de Seguridad

 

1. Autenticación Multifactor (MFA): Implementar MFA en todas las cuentas posibles, especialmente en cuentas críticas y de acceso remoto, para añadir una capa adicional de seguridad.
2. Política de Verificación Rigurosa: Establecer procedimientos estrictos de verificación para solicitudes de cambio en cuentas o servicios, especialmente para cambios críticos como restablecimiento de contraseñas o solicitudes de cambio de SIM.
3. Restricciones de Acceso: Limitar el acceso a la información y sistemas basándose en el principio de mínimo privilegio.

 

3. Medidas Técnicas

 

1. Alertas de Seguridad: Configurar alertas para intentos de acceso sospechosos o cambios inusuales en la configuración de la cuenta.
2. Herramientas de Seguridad: Utilizar software antivirus y antimalware actualizado, junto con firewalls, para proteger contra software malicioso que pueda ser parte de un ataque.
3. Actualizaciones y Parches: Mantener todos los sistemas y software actualizados para protegerse contra vulnerabilidades conocidas.

 

4. Verificación de Proveedores de Servicios

 

1. Colaboración con Proveedores: Trabajar estrechamente con proveedores de servicios de telecomunicaciones para establecer procesos de verificación antes de cualquier cambio de SIM o restablecimiento de cuenta.
2. Autenticación Fuerte: Exigir a los proveedores que utilicen métodos de autenticación avanzados antes de permitir cambios en las cuentas de servicio.

 

5. Respuestas a Incidentes y Recuperación

 

1. Plan de Respuesta a Incidentes: Tener un plan de respuesta a incidentes que incluya procedimientos específicos para responder a ataques de ingeniería social y brechas de seguridad.
2. Copias de Seguridad: Realizar copias de seguridad regulares y asegurar que sean fáciles de restaurar para minimizar el daño en caso de un ataque exitoso.

 

Implementando estas medidas, tanto individuos como organizaciones pueden mejorar significativamente su resiliencia frente a los ataques de ingeniería social y asegurar que tanto sus datos como sus recursos permanezcan protegidos.

La ingeniería social sigue siendo una amenaza significativa en el panorama de la ciberseguridad. Sin embargo, con la debida diligencia y las prácticas de seguridad adecuadas, es posible mitigar el riesgo y protegerse contra estos ataques cada vez más sofisticados. Recordar siempre que en el mundo digital, al igual que en el físico, la precaución nunca está de más.