Casi la mitad de las cuentas a las que tomaron control los ciberdelincuentes contaban con autenticación multifactor (AMF), según un estudio reciente de Proofpoint. Aun así, una aplastante mayoría de profesionales de la seguridad globales (89%) consideran la AMF una protección completa, rozando la perfección, para combatir la apropiación de cuentas.
“Ante esa clara desconexión entre la creencia de la autenticación multifactor, como piedra angular de la ciberseguridad moderna, y la mayor sofisticación de las tácticas de los ciberdelincuentes para eludirla se necesita un sólido enfoque de defensa en profundidad”, explican los investigadores de Proofpoint. “La seguridad multicapa puede ayudar a mitigar este auge de técnicas para saltarse esta autenticación y reducir las opciones de que se produzca una brecha significativa derivada de la toma de control de una cuenta”.
Confiar en un único mecanismo de defensa es arriesgado: los atacantes siempre buscan la manera de adaptarse para superar protecciones ampliamente desplegadas, y la autenticación multifactor no es una excepción. Para los expertos en amenazas de Proofpoint, la autenticación multifactor no es una defensa definitiva, sino que debe formar parte de un programa de seguridad completo, que implemente distintas capas de seguridad que consigan minimizas las probabilidades de éxito de un ataque, incluso si una de esas capas consigue vulnerarse.
De primeras, la autenticación multifactor parece muy segura y eficaz, porque requiere que los usuarios se autentiquen con algo que saben (normalmente su contraseña), algo que tienen (una aplicación o token) o algo que son (como un escáner facial). No obstante, las amenazas han encontrado múltiples formas de evadirla: ataques de phishing para que los usuarios introduzcan códigos autenticación multifactor o sus credenciales páginas de inicio de sesión controladas por los atacantes; secuestro de sesiones para robar cookies después de la autenticación, consiguiendo que la anterior basada en autenticación multifactor sea irrelevante; ataques de fatiga por aluvión de notificaciones push de autenticación multifactor, después de robar la contraseña de un usuario que acepta sólo para que cesen; ingeniería social para un intercambio de SIM, transfiriendo el número de teléfono del objetivo al atacante, con lo que se compromete la autenticación por SMS; o ataques de intermediario para interceptar tokens de sesión que luego se transmiten a servicios legítimos, concediendo acceso a los atacantes.
Todo ello implica un enfoque de la defensa en profundidad que cree redundancias para que los atacantes tengan menos capacidad de explotar cualquier mínima vulnerabilidad. Respecto a la evasión de la autenticación multifactor, debe fortalecerse la protección de los endpoint con herramientas de para identificar y mitigar el acceso no autorizado a nivel de host; invertir en defensas contra el phishing de credenciales, altamente selectivos, a través del correo electrónico y adoptar una autenticación multifactor que sea resistente a esta amenazas, con claves de seguridad de hardware (FIDO2) o biométricos, que son menos susceptibles a ataques de suplantación de identidad; obtener sistemas de seguridad especializados en apropiaciones de cuentas, deteniéndolas antes de que causen daños significativos; planificar respuestas ante incidentes y posterior recuperación; y educar a los usuarios a reconocer intentos de ataque dirigidos a sus credenciales de autenticación multifactor.
“Las tácticas de evasión de la autenticación multifactor son un buen ejemplo de la naturaleza dinámica de las ciberamenazas actuales. Al invertir en medidas completas y proactivas, es posible adelantarse a las amenazas. Además, te aseguras de que, si una capa de seguridad falla, las otras pueden absorber el impacto. La ciberseguridad no consiste en construir un único muro infranqueable, sino en dificultar cada paso a los atacantes”, defienden desde Proofpoint.
Te puede interesar
- Tycoon 2FA: el kit de phishing para saltarse la autenticación multifactor de Microsoft 365 y Google
- Nuevas técnicas de phishing que eluden la autenticación de doble factor
- 5 consejos para crear una estrategia digital exitosa basada en la autenticación
- El factor de autenticación doble y múltiple
- 5 claves en ciberseguridad para 2025
