En el mundo digital actual, la seguridad en línea es una preocupación creciente para individuos y empresas. La autenticación de múltiples factores (MFA) ha sido ampliamente adoptada como una solución efectiva para reforzar la seguridad. Sin embargo, una nueva tendencia, conocida como "MFA Spamming" o "MFA Fatigue", está surgiendo como un desafío significativo. En este artículo exploraremos el concepto de MFA Spamming, sus implicaciones en la seguridad y cómo las personas y organizaciones pueden protegerse eficazmente.
¿Qué es el spamming y la fatiga de MFA?
El término "spam MFA" se refiere a la acción maliciosa de saturar la bandeja de entrada de correo electrónico, el teléfono u otros dispositivos registrados de un usuario objetivo con numerosas solicitudes o códigos de confirmación de autenticación multifactor (MFA). El propósito detrás de esta táctica es sobrecargar al usuario con notificaciones, con la esperanza de que, sin darse cuenta, apruebe un inicio de sesión no autorizado. Para llevar a cabo este tipo de ataque, los ciberdelincuentes necesitan tener acceso a las credenciales de la cuenta de la víctima objetivo, es decir, el nombre de usuario y la contraseña, para iniciar el proceso de inicio de sesión y activar las notificaciones de MFA.
Te podrá interesar leer: Reducción de Spam en el Correo Electrónico: Evítalo
Técnicas de ataque de spam MFA
Existen diversas técnicas utilizadas para llevar a cabo ataques de spam MFA, que incluyen:
1. Utilizar herramientas o scripts automatizados para inundar los dispositivos de las víctimas con un gran número de solicitudes de verificación.
2. Recurrir a tácticas de ingeniería social para engañar al usuario objetivo y hacer que acepte una solicitud de verificación de manera involuntaria.
3. Explotar la interfaz de programación de aplicaciones (API) del sistema MFA para enviar una cantidad considerable de solicitudes de autenticación falsas al usuario objetivo.
Al emplear estas técnicas, los atacantes buscan aprovechar cualquier aprobación no deseada y, en última instancia, obtener acceso no autorizado a información o cuentas confidenciales.
Conoce más sobre: Navegando en los Desafíos de MFA
Ejemplos de ataques de spam MFA
Los ciberdelincuentes están utilizando cada vez más ataques de spam MFA para eludir los sistemas de autenticación multifactor. Aquí te presentamos dos ejemplos destacados de ciberataques llevados a cabo mediante esta técnica:
1. Entre marzo y mayo de 2021, los piratas informáticos lograron evadir la autenticación multifactor basada en mensajes de texto (SMS) de la empresa Coinbase, que es considerada una de las principales plataformas de intercambio de criptomonedas a nivel mundial. En este ataque, robaron criptomonedas pertenecientes a más de 6.000 clientes.
2. En 2022, los piratas informáticos inundaron a los clientes de Crypto.com con una gran cantidad de notificaciones falsas para intentar retirar dinero de sus billeteras digitales. Muchos clientes aprobaron sin darse cuenta las solicitudes de transacciones fraudulentas, lo que resultó en una pérdida de 4.836,26 ETH, 443,93 BTC y aproximadamente 66.200 dólares estadounidenses en otras criptomonedas.
Conoce más sobre: Descubre sobre MFA y como funciona
¿Cómo mitigar el spamming y la fatiga de MFA?
Para mitigar el spamming y la fatiga de MFA, es necesario implementar controles técnicos y aplicar políticas de seguridad de MFA pertinentes. Aquí hay algunas estrategias efectivas para prevenir este tipo de ataques:
- Aplicar políticas de contraseñas fuertes y bloquear las contraseñas filtradas. Las contraseñas son el primer factor de autenticación y, por tanto, deben ser seguras y únicas. Se recomienda utilizar generadores y gestores de contraseñas para crear y almacenar contraseñas aleatorias y complejas. Además, se debe evitar el uso de contraseñas que hayan sido expuestas en violaciones de datos, ya que los hackers pueden utilizarlas para intentar acceder a otras cuentas.
- Educar a los usuarios sobre el spamming y la fatiga de MFA. Los usuarios deben ser conscientes de la existencia y el riesgo de este tipo de ataque, y saber cómo actuar en caso de recibir solicitudes o códigos de MFA sospechosos. Se debe instruir a los usuarios para que no aprueben ninguna solicitud de MFA que no hayan solicitado, que verifiquen la fuente y el contenido de las notificaciones, y que informen de cualquier actividad anómala a los responsables de seguridad.
- Utilizar métodos de MFA más seguros que el SMS. El SMS es uno de los métodos de MFA más vulnerables, ya que puede ser interceptado, suplantado o redirigido por los hackers. Por ello, se aconseja utilizar otros métodos de MFA más seguros que el SMS, como las aplicaciones de autenticación, los tokens de hardware o la biometría. Estos métodos son más difíciles de interceptar o falsificar por los hackers, y ofrecen una mejor experiencia de usuario.
- Limitar el número de solicitudes de MFA por usuario y por dispositivo. Se puede establecer un límite de solicitudes de MFA que se pueden enviar a un usuario o a un dispositivo en un período de tiempo determinado, para evitar que se produzca una sobrecarga de notificaciones. Si se supera el límite, se puede bloquear el acceso o enviar una alerta al usuario y al equipo de seguridad.
- Implementar un sistema de MFA adaptativo o basado en el riesgo. Este sistema evalúa el nivel de riesgo de cada solicitud de inicio de sesión, en función de factores como la ubicación, el dispositivo, la hora, el comportamiento o el tipo de cuenta. En función del nivel de riesgo, se puede requerir un método de MFA más o menos estricto, o incluso omitir el MFA si se trata de un inicio de sesión de confianza. De esta manera, se reduce el número de solicitudes de MFA innecesarias y se mejora la experiencia de usuario.
Conoce más sobre: Protocolos y Funcionamiento de YubiKey
Conclusión
El spamming y la fatiga de MFA son técnicas que los hackers utilizan para burlar los sistemas de MFA y acceder a las cuentas o los dispositivos de las víctimas. Para evitar este tipo de ataques, se deben implementar medidas de seguridad adecuadas, como utilizar métodos de MFA más seguros que el SMS, limitar el número de solicitudes de MFA por usuario y por dispositivo, e implementar un sistema de MFA adaptativo o basado en el riesgo. Además, se debe educar a los usuarios sobre el riesgo y el funcionamiento de este tipo de ataques, y cómo actuar en caso de recibir solicitudes o códigos de MFA sospechosos.