En PCMag exhortamos con frecuencia a nuestros lectores a habilitar la autenticación multifactor (MFA) siempre que esté disponible. Sin MFA, cualquier schmoe que robe, piratee o adivine su contraseña puede acceder a la cuenta relacionada. Cuando se activa MFA, la contraseña no es suficiente. Entrar en la cuenta también requiere otro factor, como una huella digital o una clave de seguridad.
Para sus cuentas personales, MFA suele ser opcional, pero las empresas pueden requerirlo para acceder a sus sistemas internos. Más empresas que nunca admiten MFA, pero 2022 fue un año terrible para las filtraciones de datos. ¿Nos falló MFA?
Una presentación en la Conferencia RSA en San Francisco exploró este tema en detalle, utilizando ejemplos destacados de violaciones de datos que involucran MFA. El presentador, Dave Taku, es el director sénior de gestión de productos e interfaz de usuario de RSA Security, una empresa cuyo negocio incluye proporcionar MFA a las empresas. (Tenga en cuenta que RSA Security no está conectado directamente con la Conferencia RSA).
Un año terrible para las infracciones
Taku lideró al señalar que, según una encuesta, el 78 % de las organizaciones usaban MFA en 2022, frente al 28 % en 2017. Entonces, ¿por qué están aumentando los ataques exitosos? Presentó una cita del autor y filósofo Aldous Huxley para la consideración de la audiencia: “Existe una ley de esfuerzo invertido. Cuanto más intentemos con la voluntad consciente de hacer algo, menos tendremos éxito”.
“¿Es eso a lo que nos enfrentamos? Cuanto más lo intentamos con MFA, ¿menos éxito tenemos? dijo Taku. “Yo diría que en este caso particular, tal vez esa ley no se aplique. No es porque MFA se esté volviendo menos efectivo, es porque la superficie de ataque está aumentando”.
Taku analizó tres ataques específicos que involucran tres vectores diferentes: la configuración de MFA, el proveedor de MFA y el usuario de MFA. Ninguno atacó la tecnología de autenticación directamente; más bien lo eludieron. “MFA sigue siendo su mejor defensa”, dijo Taku.
Ataque a la configuración de MFA
En marzo de 2022, el FBI y la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) informaron sobre un ataque patrocinado por el estado contra una organización no gubernamental no especificada. Los atacantes identificaron una cuenta huérfana dentro de la organización, una que no estaba asociada con ningún individuo. Como nadie usaba la cuenta, no había nadie que se diera cuenta cuando los atacantes forzaron la contraseña de la cuenta.
Es sorprendentemente fácil estar más seguro en línea
Habiendo adquirido la contraseña, los atacantes la usaron para inscribirse en MFA. Con la cuenta ahora verificada, obtuvieron acceso a la VPN y la aprovecharon para descifrar el controlador de dominio. El controlador de dominio en sí requería MFA, pero los atacantes lograron deshabilitar la respuesta de MFA, lo que provocó que el controlador simplemente omitiera MFA. Ahora en la cúspide del control, el grupo atacante retuvo el acceso a la red de la ONG durante 10 meses.
“La autenticación multifactor necesita una inscripción multifactor”, señaló Taku. No debería haber sido posible inscribirse simplemente usando una contraseña robada. Enumeró numerosas posibilidades, entre ellas la entrega de credenciales en persona, una contraseña de un solo uso o un PIN enviado al correo electrónico registrado o al móvil del empleado.
Ataque al proveedor de MFA
También en marzo de 2022, un grupo denominado LAPSUS$ pirateó varias empresas, entre ellas Microsoft, Nvidia y el proveedor de autenticación Okta. Los atacantes sabiamente evitaron desafiar directamente a Okta, y en su lugar trabajaron para comprometer a un subcontratista, Sitel. Ese ataque logró obtener los poderes del administrador atacado, en parte debido a la modificación de un archivo llamado DomainAdmins-LastPass. Esto les dio la posibilidad de restablecer las contraseñas de los clientes de Okta en más de 360 empresas.
“Trabajo para RSA, un competidor de Okta”, dijo Taku, “pero no estoy aquí para criticar a Okta. Okta hizo un buen trabajo de contención, pero recibió un ojo morado por falta de transparencia”.
Luego, Taku profundizó en un área algo técnica llamada inteligencia de identidad basada en riesgos y explicó que «cuando un usuario se autentica, es más que solo presentar una credencial». Señaló que es importante validar dinámicamente que el acceso tenga sentido y verificar todos los factores disponibles para verificar la identidad del usuario.
Ataque al usuario de MFA
El tercer ejemplo de violación involucró a Uber, en septiembre de 2022. El pirata informático obtuvo la contraseña de Active Directory de un empleado de Uber. “¿Fue fuerza bruta? ¿Ingeniería social? No lo sabemos”, dijo Taku, “pero ya tienen el primer factor de autenticación”.
Recomendado por Nuestros Editores
“El acceso estaba protegido por la autenticación de dos factores mediante push móvil”, continuó Taku. “Una notificación automática llega a su teléfono y dice: ¿eres tú? Aprobar o negar”. El pirata informático activó la notificación automática una y otra vez, con la esperanza de que el usuario, por fatiga o error, aprobara la conexión. Taku señaló su aprobación del término «bombardeo rápido» para este ataque.
Cuando eso no funciona, el atacante llama a la víctima afirmando ser el servicio de asistencia de Uber. Estamos haciendo una prueba. ¿Puedes aprobar esta vez?” dijo Taku. “Es solo un ataque de ingeniería social de la vieja escuela”. Al final, el atacante obtuvo acceso al caché de errores informados (pero no corregidos) de Uber, preparándose para nuevos ataques.
Taku señaló que este tipo de ataque puede ser frustrado por un sistema que bloquea la cuenta después de tantos intentos fallidos de inicio de sesión. También señaló que existen técnicas de autenticación automática que fuerzan la participación del usuario, como pedirles que toquen un código en particular en la aplicación móvil. El compromiso forzado niega la fatiga MFA inducida por el bombardeo rápido.
Taku continuó señalando que la autenticación FIDO que usa claves de acceso también puede servir como una forma de MFA que es difícil de descifrar, pero se refirió a los esfuerzos actuales para hacer que las claves de acceso sean portátiles. “Ahora todo lo que necesito es su contraseña de iCloud y puedo descargar sus claves FIDO”, señaló. “Es excelente para la comodidad, terrible para la seguridad”.
MFA sigue siendo el camino
Taku concluyó con tres conclusiones para la audiencia.
-
El 82% de los ataques involucran el elemento humano. “Deberíamos usar mejoras de autenticación invisibles, para no ser vulnerables al error humano”, dijo Taku.
-
“MFA sigue siendo su mejor primera línea de defensa”, dijo. “Tres ataques de alto perfil que involucran MFA, pero ninguno de ellos fue una violación fundamental de la tecnología MFA subyacente”.
-
La seguridad implica más que solo MFA. Taku presentó mejoras como los principios de Zero Trust, Identity Governance y asegurar la inscripción de MFA
Ahí lo tienes. La autenticación multifactor sigue siendo la mejor forma de autenticación, mucho mejor que las contraseñas. Las infracciones que parecen involucrar a MFA demuestran ser técnicas para eludirlas.
¿Te gusta lo que estás leyendo?
Matricularse en Vigilancia de la seguridad boletín de noticias para nuestras principales historias de privacidad y seguridad directamente en su bandeja de entrada.
Este boletín puede contener publicidad, ofertas o enlaces de afiliados. Suscribirse a un boletín informativo indica su consentimiento a nuestros Términos de uso y Política de privacidad. Puede darse de baja de los boletines en cualquier momento.