Fatiga MFA: cómo los ciberdelincuentes están burlando la autenticación multifactorial
Es cada vez más evidente que, por más complejas y fuertes que sean las contraseñas, estas ya no son un método seguro de autenticación, por lo cual se hace necesario agregar una “capa extra” de seguridad para protegerse contra el crimen cibernético. Y es por eso que, a lo largo de los últimos años, expertos del sector han recomendado con insistencia el uso de la autenticación multifactorial, también conocida por otros nombres y siglas, como autenticación doble, autenticación de dos factores, MFA, 2FA, etc.
Nos referimos a aquella etapa adicional en el proceso de autenticación en la cual el internauta necesita informar un código generado aleatóriamente y enviado a su celular vía SMS o por medio de una aplicación dedicada. En el mundo corporativo, las soluciones de gestión de identidad lo han hecho todo más fácil: basta con confirmar el intento de login en una notificación push que surge en tu smartphone.
Sin embargo, un nuevo tipo de estafa ha puesto en jaque la seguridad de la autenticación multifactorial: hablamos del MFA Fatigue, término que se puede traducir libremente como “fatiga de MFA”. Se trata de un ataque que ha puesto a muchos expertos en alerta, ya que se ha usado —con éxito— para invadir cuentas legítimas de colaboradores de grandes empresas a lo largo de 2022. Dado el aumento de su popularidad, es crucial concienciar a los colaboradores con respecto a esa amenaza.
Spam de notificaciones
La elección de la palabra “fatiga” para bautizar a esta nueva estafa no es casual, pues, con ella, se busca, literalmente, ganarle a la víctima por cansancio. Para aplicar el ataque, es necesario que el delincuente tenga la contraseña de login de la víctima, la cual obtiene, generalmente, por medio de filtraciones de datos o vía campañas de phishing. A partir de ese momento, empieza a enviar requerimientos de autenticación de forma reiterada en un corto intervalo de tiempo, creando una ola de “spam” de solicitudes de autenticación doble en el dispositivo móvil del colaborador.
La idea es que la víctima se canse de recibir tantas notificaciones sobre permitir o negar la autenticación y que, después de algunas horas, crea que tanta insistencia se debe a un bug del sistema de autenticación multifactorial y, simplemente, clique en “Permitir” para hacer que las notificaciones se detengan. ¡Listo!: después de mucha insistencia automatizada y de hartar a la víctima, el actor malicioso al fin ha logrado trasponer la barrera del login en dos etapas; y el propio dueño de la cuenta permitió su entrada.
¿Hay cómo evitar el daño?
Aunque el aumento en el caso de intentos de ataques de ese tipo haya aumentado de forma vertiginosa en 2022, vale la pena calmar los ánimos y resaltar que, a fin de cuentas, no es tan difícil adoptar medidas que mitiguen (o al menos dificulten) la acción de los ciberdelincuentes. Para el equipo de seguridad de la información, basta con crear una regla en tu solución de gestión de identidad y acceso que bloquee el envío de notificaciones después de una cierta cantidad de solicitudes de autenticación negadas por el usuario, evitando, así, la fatiga.
Por supuesto, también es esencial educar al colaborador para que él entienda que aquella avalancha de notificaciones podría no ser un error del sistema, sino un actor malicioso intentando invadir la cuenta. Si notas que te está pasando eso, lo mejor que puedes hacer es accionar inmediatamente al equipo de seguridad de información, pues este tomará las medidas adecuadas para resguardar tus credenciales.