En la última década, la autenticación multifactor (MFA) se ha convertido en la piedra angular de la ciberseguridad moderna. Durante ese tiempo, aunque la autenticación de usuarios ha mejorado en sofisticación, las tácticas de los ciberdelincuentes no se han quedado atrás. No hay más que ver el auge de las técnicas de evasión de la MFA.
A pesar de la capacidad de los atacantes para burlar la MFA, aún persiste la creencia en su casi infalibilidad. Una investigación reciente de Proofpoint muestra que casi la mitad de las cuentas que fueron usurpadas por ciberdelincuentes tenían configurada la MFA. Sin embargo, el 89 % de los profesionales de la seguridad consideran que la MFA es una protección completa contra la usurpación de cuentas. Claramente, existe una desconexión.
Por eso, ahora más que nunca, es necesario un enfoque de defensa en profundidad sólido. La seguridad por capas puede ayudar a mitigar la elusión de la MFA y reducir la probabilidad de que se produzca un incidente importante derivado de la usurpación de cuentas. En este artículo, analizaremos por qué la MFA no es suficiente y le daremos algunos consejos para proteger mejor su organización.
Técnicas de elusión de la MFA
La MFA es eficaz porque requiere que los usuarios se autentiquen con múltiples factores. Combina algo que saben (normalmente su contraseña) con algo que tienen (una aplicación autenticadora o token) o con algo que son (como el reconocimiento facial). Aunque esto suena muy seguro, los ciberdelincuentes o agentes de amenazas han encontrado múltiples formas de eludir la MFA. Muchas de estas tácticas son muy sofisticadas:
- Ataques de phishing. En estos ataques, los ciberdelincuentes engañan a los usuarios para que introduzcan códigos MFA o sus credenciales de inicio de sesión en sitios web controlados por los atacantes.
- Ataques por fatiga de uso de la MFA. Una vez que los ciberdelincuentes roban la contraseña de un usuario, inician un aluvión de notificaciones push de MFA. Esto puede confundir a los usuarios, llevándolos a aprobar la solicitud de acceso solo para que cesen las notificaciones.
- Secuestro de sesión. Con esta técnica, los atacantes roban las cookies de sesión después de la autenticación. Esto invalida la autenticación previa basada en MFA.
- Intercambio de SIM. Esta técnica compromete la MFA basada en SMS transfiriendo el número de teléfono del objetivo al atacante. Para lograrlo, el ciberdelincuente necesita aplicar ingeniería social la operadora de telefonía móvil o contar con la colaboración de un usuario interno de la organización.
- Pura ingeniería social. La mayoría de las organizaciones tienen una forma de que los trabajadores remotos restablezcan sus contraseñas y configuraciones MFA sin tener que presentarse en persona. Sin embargo, sin una verificación adecuada de la identidad online, el servicio de asistencia de TI puede ser objeto de ingeniería social para entregar las credenciales de un empleado falsificado al ciberdelincuente.
- Ataques de intermediario (adversary-in-the-middle). Las herramientas de los atacantes, como el kit especializado en phishing Evilginx, interceptan los tokens de sesión. Esos tokens se retransmiten a servicios legítimos, que conceden acceso a los atacantes.
Vea esta demostración de un ataque de intermediario mediante Evilginx, que Proofpoint Account Takeover Protection puede detectar y bloquear.
Por qué no basta con la MFA
Sin duda, la MFA añade una valiosa capa de seguridad a la autenticación de usuarios. Y esto dificulta la intrusión de los ciberdelincuentes. Pero las técnicas de evasión descritas anteriormente demuestran por qué es tan arriesgado confiar en un único mecanismo de defensa de la seguridad. La prevalencia cada vez mayor de ataques exitosos para eludir la MFA demuestra que los atacantes decididos pueden adaptarse para superar las protecciones ampliamente desplegadas.
Aunque pueda parecer obvio, es importante tener siempre presente que la MFA solo debe formar parte de un programa de seguridad más amplio. No es una defensa definitiva. El objetivo de la defensa en profundidad es que la aplicación de capas adicionales de seguridad reduzca la probabilidad de éxito de un ataque, incluso si se vulnera una de las capas.
Implementación de una estrategia de defensa en profundidad
Un enfoque de defensa en profundidad implica múltiples medidas de seguridad superpuestas. Esto crea redundancias y reduce la capacidad de un atacante para explotar cualquier vulnerabilidad. He aquí cómo las organizaciones pueden reforzar sus defensas contra la elusión de la MFA:
- Fortalezca la protección para endpoints. Despliegue herramientas de detección y respuesta para endpoints (EDR) para identificar y mitigar el acceso no autorizado a nivel de host.
- Invierta en defensas contra el phishing. La mayoría de los ciberdelincuentes prefieren utilizar ataques de phishing muy dirigidos y de ingeniería social para atacar las credenciales de sus usuarios. Esa es la razón por la que Proofpoint sigue invirtiendo fuertemente en nuestra plataforma de protección del correo electrónico.
- Adopte MFA resistente al phishing. Cambiar a métodos de MFA más seguros, como las claves de seguridad de hardware (FIDO2) o la biometría, que son menos susceptibles a los ataques de phishing y de evasión de MFA.
- Obtenga sistemas de seguridad especializados en la usurpación de cuentas. Implemente herramientas como Proofpoint Account Takeover Protection para detectar, investigar y responder automáticamente a las usurpaciones de cuentas en la nube en el momento en que se producen, bloqueándolas antes de que puedan causar daños importantes.
- Forme a los usuarios. Enseñe a sus usuarios a reconocer los intentos de phishing y otras tácticas de ingeniería social dirigidas a sus credenciales MFA. Proofpoint Security Awareness Training puede facilitarle mucho esta tarea.
- Planifique la respuesta a incidentes y la recuperación. Prepárese para los peores escenarios. Asegúrese de contar con un plan de respuesta a incidentes bien definido que incluya una forma de revocar rápidamente los tokens de acceso e investigar los inicios de sesión sospechosos. Proofpoint Account Takeover Protection puede ayudarle.
Pasado, presente y futuro de la ciberseguridad: defensa proactiva por capas
La lucha contra las tácticas de elusión de la MFA es un buen ejemplo de la naturaleza dinámica de las ciberamenazas actuales. Cuando adopta una estrategia de defensa en profundidad, se asegura de que incluso si falla una capa de tu seguridad hay otras capas que pueden absorber el impacto.
Si invierte en medidas de seguridad integrales y proactivas, podrá adelantarse a los atacantes y proteger sus activos más valiosos. La ciberseguridad no consiste en construir un único muro infranqueable, sino en dificultar cada paso a los atacantes.
Para obtener más información, descargue la ficha técnica de Proofpoint Account Takeover Protection o vea nuestra demostración de un ataque de intermediario.