Las debilidades ocultas de una tecnología en la que confían millones.
En los últimos diez años, la autenticación multifactor (MFA) se ha convertido en una piedra angular de la ciberseguridad moderna. Sin embargo, durante este tiempo, junto con el perfeccionamiento de los mecanismos de autenticación de usuarios, también se han desarrollado las tácticas de los ciberdelincuentes. Basta con observar el aumento del número de métodos para eludir la MFA.
A pesar de que los atacantes pueden eludir la MFA, la sociedad mantiene la creencia en su eficacia prácticamente absoluta. Según investigaciones recientes, casi la mitad de todas las cuentas capturadas por los atacantes tenían activada la MFA. Sin embargo, el 89% de los especialistas en seguridad consideran que la MFA es una protección completa contra la captura de cuentas. Evidentemente, existe una gran diferencia entre la percepción y la realidad.
Por eso, ahora más que nunca, se necesita un enfoque integral con el uso de una defensa profunda. La seguridad multinivel ayuda a minimizar los riesgos de eludir la MFA y reduce la probabilidad de un incidente grave relacionado con la captura de una cuenta. Este artículo explica por qué la MFA por sí sola no es suficiente y ofrece consejos para mejorar la protección de su organización.

Métodos para eludir la MFA
La MFA es eficaz porque exige a los usuarios autenticarse utilizando varios factores. Esto puede ser algo que saben (por ejemplo, una contraseña), algo que tienen (una aplicación de autenticación o un token), o algo que son (por ejemplo, un escaneo facial o una huella dactilar). Aunque este enfoque parece seguro, los atacantes han encontrado muchas formas de eludir la MFA.
- Ataques de phishing: Los usuarios introducen códigos MFA o credenciales en sitios web controlados por atacantes, sucumbiendo a trucos digitales.
- Bombardeo push: Después de que los atacantes roban la contraseña de un usuario, inician un flujo de notificaciones MFA. Esto puede confundir al usuario, haciéndole aprobar una solicitud, simplemente para dejar de recibir notificaciones.
- Robo de sesiones: Los atacantes roban las cookies de sesión después de la autenticación, haciendo que la MFA sea inútil.
- Intercambio de SIM (SIM Swapping): Este método compromete la MFA basada en SMS, transfiriendo el número de teléfono de la víctima al atacante. Para ello, se necesita ingeniería social o la presencia de un cómplice en la organización del operador de telefonía móvil.
- Ingeniería social pura: La mayoría de las organizaciones permiten a los empleados remotos restablecer contraseñas y MFA sin presencia física. Sin embargo, sin una verificación de identidad adecuada, los empleados de soporte técnico pueden ser engañados y entregar las credenciales de un falso empleado a los atacantes.
- Ataques de intermediario: Las herramientas de los atacantes, como el kit de phishing Evilginx, interceptan los tokens de sesión. Luego, estos tokens se transmiten a servicios legítimos, brindando acceso a los atacantes.
¿Por qué la MFA por sí sola no es suficiente?
Sin duda, la MFA añade un valioso nivel de seguridad en la autenticación de usuarios, dificultando el acceso a los atacantes. Sin embargo, los métodos de elusión descritos anteriormente demuestran los riesgos asociados con depender únicamente de una única medida de protección. Los ataques exitosos contra la MFA son cada vez más comunes, lo que demuestra que los atacantes motivados se adaptan para superar las protecciones ampliamente aplicadas.
Aunque pueda parecer obvio, es importante recordar que la MFA debe ser solo una parte de un programa de seguridad más amplio. No es una protección absoluta. El principio fundamental de la defensa profunda radica en que agregar varias capas de seguridad reduce la probabilidad de un ataque exitoso incluso en caso de que se comprometa una de las capas.
Implementación de una estrategia de defensa profunda
Un enfoque integral de defensa profunda incluye múltiples medidas de seguridad que se cruzan. Esto crea redundancia y reduce las posibilidades de que los atacantes exploten las vulnerabilidades.
Así es como las organizaciones pueden reforzar la protección contra la elusión de la MFA:
- Refuerzo de la protección de los puntos finales: Implementación de herramientas de detección y respuesta a nivel de host (EDR) para identificar y prevenir el acceso no autorizado.
- Inversión en protección contra el phishing: La mayoría de los atacantes utilizan ataques cuidadosamente planificados basados en ingeniería social para obtener acceso a las credenciales.
- Transición a una MFA resistente al phishing: Uso de métodos MFA más seguros, como claves de seguridad de hardware (FIDO2) o biometría, que son menos vulnerables al phishing.
- Implementación de sistemas especializados de protección de cuentas: Uso de herramientas especiales para detectar, investigar y responder automáticamente a las capturas de cuentas en la nube, previniendo consecuencias graves.
- Capacitación de los usuarios: Capacitar a los empleados para que reconozcan los intentos de phishing y otros métodos de ingeniería social dirigidos a sus credenciales MFA.
- Preparación para incidentes y recuperación: Tener un plan de respuesta a incidentes claramente definido, que incluya la capacidad de revocar rápidamente los tokens de acceso e investigar las entradas sospechosas.
El pasado, el presente y el futuro de la ciberseguridad: protección proactiva multinivel
La lucha contra la elusión de la MFA es un claro ejemplo de la naturaleza dinámica de las ciberamenazas actuales. Al aplicar una estrategia de defensa profunda, se puede garantizar que incluso en caso de fallo de una capa de seguridad, otras podrán compensar los daños.
Invertir en medidas de seguridad integrales y proactivas permite adelantarse a los atacantes y proteger los activos más valiosos. La ciberseguridad no consiste en crear un único muro inexpugnable, sino en dificultar cada paso del atacante.