¿Te has planteado alguna vez que, incluso con autenticación multifactor, tus cuentas podrían estar en riesgo? A diario, los ciberdelincuentes encuentran nuevas formas de evadir esta barrera de seguridad que creemos infalible. En este artículo, descubrirás las estrategias que emplean para saltarse la MFA y, lo mejor de todo, cómo puedes protegerte y evitar ser una víctima más. Prepárate para un recorrido directo y sin tecnicismos que te dejará mejor preparado para enfrentar cualquier amenaza digital.
La autenticación multifactor (MFA) es una medida de seguridad muy importante en la protección de cuentas, pero los ciberdelincuentes ya tienen sus estrategias ingeniosas para eludirla. Hoy en día, incluso con MFA activado, no estamos completamente a salvo de posibles brechas. En este artículo, te mostraré cómo algunos atacantes superan esta barrera de seguridad y qué pasos puedes tomar para mejorar tus defensas.
¿Por qué y cómo buscan eludir la MFA?
Los ciberdelincuentes tienen varios objetivos al intentar acceder a cuentas protegidas: robar datos personales, cometer fraudes económicos, acceder a información sensible de empresas, o incluso vender el acceso a estas cuentas en el mercado negro. Con estas intenciones en mente, han diseñado métodos para engañar tanto a la tecnología como al usuario, aprovechando debilidades y errores humanos. Aquí te presento algunas de las técnicas más utilizadas y cómo logran, en muchos casos, burlar la MFA.
Ataque «Man-in-the-Middle»: interceptando los datos
Uno de los métodos más comunes para eludir la MFA es el ataque Man-in-the-Middle (MitM). En este tipo de ataque, el ciberdelincuente se sitúa entre el usuario y el sitio de autenticación, interceptando la información enviada, como los códigos MFA. Para llevarlo a cabo, el atacante crea una página de inicio de sesión falsa que simula ser la real. Cuando la víctima introduce sus credenciales, el atacante las captura y utiliza para acceder al servicio legítimo.
¿Cómo protegerse? Utiliza aplicaciones de autenticación en lugar de recibir códigos por SMS, ya que las apps son menos vulnerables a este tipo de ataques. Además, emplear plataformas que detecten actividad inusual y alerten al usuario puede añadir una capa de protección.
Bombardeo de notificaciones: la fatiga de MFA
Este método, conocido como «bombardeo de MFA», es una técnica psicológica. Aquí, el atacante intenta iniciar sesión repetidamente en la cuenta de la víctima, lo cual desencadena una serie de notificaciones de MFA en el dispositivo del usuario. El objetivo es que la persona, por error o cansancio, apruebe la solicitud y le dé acceso al atacante.
¿Cómo evitarlo? Es importante revisar bien cada solicitud de autenticación antes de aprobarla. Si recibes notificaciones inesperadas, lo mejor es ignorarlas y cambiar la contraseña de inmediato. Algunas aplicaciones permiten añadir un mensaje personalizado en cada intento de inicio de sesión, lo cual ayuda a confirmar si la solicitud es legítima.
SIM Swapping: los códigos llegan al atacante
Otra forma de eludir la autenticación es a través del SIM swapping. Con esta técnica, el atacante contacta con la operadora de telefonía móvil y se hace pasar por la víctima para conseguir una copia de su tarjeta SIM. Una vez logrado, recibe los mensajes de texto y llamadas, incluyendo los códigos de MFA, en su propio dispositivo.
Medidas preventivas: Si tu MFA se basa en SMS, contacta a tu proveedor de servicios móviles para solicitar protecciones adicionales, como establecer un PIN para cambios en tu cuenta. Alternativamente, usa aplicaciones de autenticación que generan códigos en tu dispositivo, sin depender de SMS.
Ingeniería social: «hackeando» al usuario
En este tipo de ataque, los ciberdelincuentes no van contra la tecnología, sino contra la persona. A través de ingeniería social, el atacante se hace pasar por un técnico o una persona de confianza para obtener directamente el código de autenticación o realizar un restablecimiento de contraseña. Este método funciona aprovechando el desconocimiento o la falta de precaución del usuario.
Protección: Mantente siempre alerta ante solicitudes de acceso o cambios de contraseña, especialmente si provienen de contactos sospechosos. Las empresas rara vez piden códigos de autenticación o datos confidenciales por teléfono o correo electrónico.
Herramientas y kits de phishing a la carta
Desafortunadamente, existen kits de Phishing-as-a-Service (PaaS) que permiten a los ciberdelincuentes lanzar ataques sin apenas conocimientos técnicos. Estas herramientas están diseñadas para evadir la MFA, ofreciendo al atacante métodos y plataformas de fácil uso para el robo de datos. Cualquier persona puede adquirir estos kits en la Dark Web, haciendo que el riesgo de ataque sea mayor.
¿Cómo defenderse? Implementar una estrategia de seguridad en capas es clave para proteger tus datos. Contar con herramientas de detección de phishing y educar a los empleados o usuarios sobre cómo identificar intentos de phishing reduce considerablemente los riesgos.
Como ves, la MFA sigue siendo una herramienta valiosa, pero no infalible. Al estar al tanto de estas técnicas y aplicar precauciones adicionales, puedes aumentar considerablemente la seguridad de tus cuentas. No dejes toda la protección en manos de una sola herramienta; adoptar varias capas de defensa te permitirá estar un paso adelante frente a los ciberdelincuentes.
El artículo Así eluden la autenticación multifactor (MFA) los ciberdelincuentes se publicó en RedesZone.
0 Commentaires