Para proteger una cuenta en Internet, más allá de usar contraseñas convencionales, es posible utilizar lo que se conoce como llave FIDO o llave de seguridad. Es un pequeño dispositivo físico, del tamaño de un pendrive, que puedes llevar a cualquier lugar y sirve para autenticarte al entrar en una cuenta. Por ejemplo, si vas a entrar en Facebook desde otro lugar, tendrías que poner tu contraseña y, además, usar este dispositivo para verificar que eres tú.
Ahora, un nuevo ataque, llevado a cabo por el grupo PoisonSeed, engaña a los usuarios para explotar justamente esas funciones de inicio de sesión de las llaves FIDO. Una vez tienen el control, van a poder saltarse esa medida extra de protección, por lo que las cuentas van a quedar expuestas. Para lograrlo, se basan en ataques que utilizan enlaces Phishing con códigos QR.
Atacan llaves de seguridad FIDO
Los códigos QR los puedes ver en muchos sitios. Estamos muy familiarizados con ellos y no es raro encontrarnos enlaces para acceder a páginas o plataformas por este medio. Por ejemplo, puedes encontrar un QR en un restaurante, para ver la carta, para conectarte a una red Wi-Fi o incluso te lo escanean en la entrada a un concierto o evento deportivo.
Un grupo de investigadores de seguridad de Expel, firma especializada en inteligencia de amenazas, ha detectado e informado el pasado 17 de julio de este tipo de ataque, en el que utilizan la técnica conocida como AitM (Adversary in the Middle). Consiste en que un atacante va a interceptar (ponerse en medio) una comunicación. Si el ataque es exitoso, van a poder eludir la protección de autenticación que se basa en hardware, en estas llaves FIDO.
El ataque empieza con una campaña de Phishing común. Este tipo de ataques lo que hace es suplantar a una persona o empresa, contactan con la víctima y hacen que caiga en la trampa. Siempre van a usar un cebo. En este caso, los ataques van dirigidos a empleados corporativos a través de correo electrónico. Todo está muy bien diseñado y las víctimas van a llegar a páginas de inicio de sesión falsas, pero que van a ser idénticas a las originales, con la propia imagen de la empresa.
A través de este método, los atacantes van a hacerse con las credenciales básicas, pero necesitan esa llave de seguridad para entrar. Esa infraestructura maliciosa que han creado, una vez ponen la contraseña, retransmite automáticamente estas credenciales robadas al portal de autenticación real, a la vez que solicita ese inicio de sesión multidispositivo.
Este proceso activa el sistema de autenticación legítimo para generar un código QR para la verificación del dispositivo alternativo, que es esa llave FIDO. La infraestructura de Phishing tiene la capacidad de capturar este código QR auténtico y lo presenta a la víctima a través de la interfaz de inicio de sesión falsa. Al usar esa autenticación multifactor con su móvil, realmente están dando acceso al atacante.
Ataques a gran escala
Este tipo de ataques suelen apuntar a empresas específicas, para robar datos confidenciales o carteras de criptomonedas. Aunque no suelen atacar directamente a usuarios domésticos, no significa que no podamos ver casos así, por lo que es clave siempre estar protegidos y no cometer errores.
El hecho de ver campañas de este tipo, nos demuestra que incluso utilizando métodos de autenticación en dos pasos, como las llaves FIDO, no estamos protegidos al 100%. Siempre existe la posibilidad de que un atacante logre romper la barrera de seguridad y acceda a nuestras cuentas.
Hay métodos para potenciar aún más la protección, como las restricciones geográficas para iniciar sesión o la verificación obligatoria a través de dispositivos Bluetooth, que solo van a funcionar en un espacio limitado. No obstante, el uso de llaves FIDO sigue siendo una opción muy útil y es mejor que usar simplemente la contraseña.
Para mejorar la protección en el uso de dispositivos de este tipo, puedes utilizar modelos que almacenan la clave en la propia llave, como YubiKey 5 o Google Titan, vinculándolas criptográficamente al servicio original e impidiendo su uso en sitios fraudulentos. Además, las llaves modernas FIDO2, al usarse en navegadores como Chrome o Firefox, validan que el dominio donde se realiza la autenticación es el legítimo, bloqueando así los ataques Phishing AiTM, como hemos visto en esta campaña.
Como usuario doméstico, lo que puedes hacer para protegerte de este tipo de ataque o cualquier otro similar, es evitar cometer errores. Prácticamente siempre, los piratas informáticos van a necesitar que hagas algo. Puede ser que entres en un enlace que te envían por correo, que descargues algún archivo o que instales una aplicación falsa. Sentido común y revisar todo muy bien, es la clave para no tener problemas.
0 Commentaires