En el ámbito de la seguridad de acceso, la autenticación de dos factores (MFA) se presenta como la recomendación más destacada. Frente a las contraseñas, que los hackers pueden vulnerar con facilidad, la MFA añade un nivel crucial de seguridad contra violaciones. No obstante, es crucial reconocer que la MFA no es completamente a prueba de fallos; puede ser y, de hecho, es burlada con cierta frecuencia.
Cuando una contraseña cae en manos equivocadas, los hackers disponen de varias estrategias para sortear la barrera adicional que supone la MFA. En este artículo analizaremos cuatro métodos de ingeniería social empleados con éxito por los hackers para superar la MFA, destacando la relevancia de mantener contraseñas robustas como elemento de una estrategia de defensa multicapa.
Te podrá interesar: Navegando en los Desafíos de MFA
Los ataques de tipo "Adversario en el Medio" (AITM) consisten en engañar a los usuarios para que piensen que están accediendo a una red, aplicación o sitio web legítimo, cuando en realidad están proporcionando su información a un imitador malicioso. Este engaño permite a los atacantes capturar contraseñas y eludir medidas de seguridad, incluyendo las verificaciones de MFA.
Por ejemplo, un trabajador puede recibir un correo electrónico de phishing que aparenta ser de una fuente de confianza. Al hacer clic en un enlace del mensaje, el empleado es redirigido a un sitio web falso diseñado para recoger sus datos de acceso.
Aunque la MFA está diseñada para bloquear estos intentos al requerir un segundo factor de autenticación, los atacantes han desarrollado métodos como la "interceptación 2FA" para sortearla. Cuando la víctima introduce sus credenciales en el sitio fraudulento, el atacante las usa inmediatamente en el sitio real. Esto genera una petición de MFA legítima que la víctima, esperando el mensaje, aprueba sin darse cuenta, proporcionando al hacker un acceso total.
Esta estrategia es empleada frecuentemente por grupos de ciberamenazas como Storm-1167, quienes son infames por crear imitaciones de las páginas de autenticación de Microsoft para capturar credenciales. Incluso van más allá, creando una página de phishing secundaria que replica el paso de MFA del proceso de inicio de sesión de Microsoft, pidiendo a las víctimas que introduzcan su código de MFA y así conceder el acceso a los atacantes. Con esto, ganan acceso a cuentas de correo electrónico legítimas, desde donde pueden lanzar ataques de phishing en múltiples etapas.
Conoce más sobre: Storm-1133 Ataca Entidades Israelíes: Revelaciones de Microsoft
Este método explota la funcionalidad de notificaciones automáticas de las aplicaciones de autenticación actuales. Tras obtener una contraseña, los atacantes intentan acceder a la cuenta, lo que genera una solicitud MFA al dispositivo del usuario legítimo. La estrategia se basa en la posibilidad de que el usuario, confundido por la legítima solicitud o agobiado por la repetición de notificaciones, acepte la solicitud con la intención de cesar las alertas. Este enfoque, denominado saturación de solicitudes MFA, constituye una seria amenaza.
Un caso destacado involucró al grupo de hackers 0ktapus, quienes lograron acceder a las credenciales de un contratista de Uber a través de un ataque de phishing vía SMS. Procedieron a autenticarse desde un equipo bajo su control y solicitaron de inmediato un código MFA. Acto seguido, se hicieron pasar por el equipo de seguridad de Uber en Slack, persuadiendo al contratista para que aceptara la solicitud MFA en su dispositivo.
Te podrá interesar: SMS Bomber: Amenaza Silente en el Mundo de los Mensajes de Texto
Los atacantes manipulan al soporte técnico para sortear la MFA, simulando haber olvidado su contraseña y logrando acceso mediante llamadas telefónicas. Si los operadores del soporte técnico fallan en aplicar los protocolos de verificación correctamente, pueden proveer inadvertidamente a los hackers un acceso preliminar al entorno corporativo.
Un incidente notable involucró a MGM Resorts, donde el grupo de hackers Scattered Spider se comunicó engañosamente con el servicio de atención al cliente para resetear una contraseña, facilitando así un punto de entrada para ejecutar un ataque de ransomware.
Además, los hackers buscan explotar las configuraciones de recuperación y los procedimientos de respaldo, convenciendo a los soportes técnicos para evadir la MFA. El grupo 0ktapus, por ejemplo, intenta esta táctica contactando a soporte al cliente de la empresa afectada si su intento inicial de saturación MFA falla.
Alegarán problemas con su teléfono o que este se ha perdido, solicitando el registro en un nuevo dispositivo MFA bajo su control. Con esto, buscan manipular los procesos de recuperación o respaldo de la empresa, enviando un enlace de restablecimiento de contraseña al dispositivo comprometido.
Los hackers son conscientes de que la MFA frecuentemente se apoya en dispositivos móviles para la autenticación. Para aprovechar esto, utilizan el 'fraude por cambio de SIM', una estrategia donde engañan a los operadores de telefonía para que trasladen los servicios de la víctima a una SIM controlada por ellos. Esto les permite tomar control del servicio móvil y número telefónico de la persona, capturando así las solicitudes de MFA y accediendo sin autorización a las cuentas.
Tras un suceso en 2022, Microsoft emitió un informe sobre las tácticas de LAPSUS$, un grupo de ciberamenazas. El documento detalla cómo LAPSUS$ ejecuta campañas de ingeniería social enfocadas en ganar acceso inicial en las organizaciones. Entre sus estrategias preferidas se incluyen los ataques por cambio de SIM, combinados con tácticas de saturación de solicitudes MFA y la manipulación de servicios de soporte técnico para restablecer las credenciales de los objetivos.
Conoce más sobre: SIM Swapping: Riesgos, Detección y Protección
Para protegerse contra los ataques de ingeniería social y en particular contra las tácticas mencionadas, es crucial adoptar una serie de medidas de seguridad tanto a nivel individual como organizacional. Aquí te presentamos algunas estrategias efectivas:
Te podrá interesar: Concientización: Esencial en la Ciberseguridad de tu Empresa
Implementando estas medidas, tanto individuos como organizaciones pueden mejorar significativamente su resiliencia frente a los ataques de ingeniería social y asegurar que tanto sus datos como sus recursos permanezcan protegidos.
La ingeniería social sigue siendo una amenaza significativa en el panorama de la ciberseguridad. Sin embargo, con la debida diligencia y las prácticas de seguridad adecuadas, es posible mitigar el riesgo y protegerse contra estos ataques cada vez más sofisticados. Recordar siempre que en el mundo digital, al igual que en el físico, la precaución nunca está de más.