Todos los días nos bombardean con notificaciones. Haz clic en esto, pulsa aquello, pitidos, alarmas, timbres... la lista es interminable. A veces te preguntas cómo se puede hacer algo.
Cuando haces algo repetidamente, se convierte en rutina hasta el punto de que ya ni siquiera le prestas atención. Piensa en cuántas veces has oído a alguien referirse a hacer algo "sin pensar". Y todo ciberdelincuente sabe que cualquier momento en que la gente está distraída o abrumada, es una oportunidad. Las acciones que realizas automáticamente sin ninguna emoción consciente o deliberación son fáciles de explotar.
Autenticación multifactor (MFA) se considera un paso fundamental para mejorar la seguridad. En lugar de exigir sólo un nombre de usuario y una contraseña para acceder a un recurso, la AMF añade otro "factor" para identificar al usuario, como claves de acceso, pulsar para aprobar, contraseña de un solo uso (OTP), biometría o un token de hardware. La AMF mejora la seguridad porque incluso si una credencial se ve comprometida, en teoría, cualquier usuario no autorizado no podría cumplir el segundo requisito de autenticación.
El problema con MFA es que puede ser molesto. Como cualquier otro tipo de notificación, si recibes muchas notificaciones de AMF, puede que no prestes toda la atención que deberías. Y eso es con lo que cuentan los actores de amenazas. Esperan que, al mermar la atención de sus usuarios, esos usuarios distraídos les proporcionen las credenciales MFA que necesitan para autenticarse en un entorno seguro. Esta táctica se conoce como "fatiga de MFA", y ha estado recibiendo más atención debido a las infracciones de alto perfil contra empresas como Uber, Cisco, Twitter, Robinhood, Okta, y Usuarios de Office 365.
La fatiga MFA es un tipo de ataque de phishing. En el Marco ATT&CK de MITRE, se define como una forma de "eludir los mecanismos de autenticación multifactor (MFA) y obtener acceso a las cuentas mediante la generación de solicitudes MFA enviadas a los usuarios".
La forma en que funciona el ataque es que un hacker obtiene acceso al nombre de usuario y la contraseña de un empleado, que luego se utiliza para intentar un inicio de sesión. Eso desencadena una notificación push multifactor, que suele ser la más vulnerable a la fatiga de la AMF. A menudo, la notificación es una nueva ventana o cuadro emergente que aparece en un smartphone, en el que se pide al empleado que apruebe o rechace la solicitud. Estas pantallas de "¿Es usted realmente?" son tan comunes que a menudo la gente simplemente hace clic para que desaparezca y poder seguir con su día.
Los actores de amenazas imitarán esas confirmaciones de memoria unas cuantas veces, con la esperanza de atrapar al usuario en un momento de falta de atención. Si algunas solicitudes no funcionan, los hackers suben la apuesta. A veces inundan el programa de autenticación del usuario con múltiples notificaciones, enviando spam al teléfono de la persona. Y si eso no funciona, pueden utilizar otras tácticas de ingeniería social como llamar o enviar mensajes de texto haciéndose pasar por personal de TI o alguna otra autoridad para convencer al usuario de que acepte la notificación de MFA.
Al igual que hacer clic en un enlace de un correo electrónico de phishing o en un sitio de malware, aprobar una notificación de AMF puede tener consecuencias catastróficas. Una vez que un hacker entra en la red, suele hacer todo lo posible por encontrar la forma de moverse y acceder a otros sistemas críticos. Si una empresa ha implantado varias medidas de seguridad de confianza cero, como el acceso con privilegios mínimos, la supervisión de puntos finales y el control de identidades, puede reducir la probabilidad de que se comprometan las credenciales y evitar que un atacante cause muchos daños. Pero la mayoría de las empresas tienen lagunas de seguridad que pueden utilizarse para obtener acceso. En el caso del ataque a Uber, el intruso pudo encontrar un script que le permitió acceder a la plataforma de gestión de acceso privilegiado (PAM) de la empresa.
Educar
Puede que no sea una solución emocionante de alta tecnología, pero la educación del usuario es el elemento más importante para evitar que este tipo de ataques de "bombardeo rápido" tengan éxito. Es como si alguien llamara a tu puerta o utilizara un timbre para entrar en tu edificio. No les dejas entrar sin mirar por una ventana o preguntarte "¿quién es?". Si recibes una notificación push, piensa antes de hacer clic. ¿Por qué ibas a aprobar una solicitud de acceso si no vas a entrar? La respuesta es que no deberías.
Disponer de la tecnología adecuada
Aunque educar a los usuarios sobre los riesgos de la AMF es fundamental, la tecnología también puede ayudar. Al proporcionar contexto adicional en la notificación de AMF, los usuarios pueden tomar una decisión informada sobre si aprobar o no. Por ejemplo, algunas soluciones de AMF muestran la fecha y hora, la aplicación y/o la ubicación en la notificación. Otras muestran un código de inicio de sesión único en la página web de inicio de sesión que debe coincidir con el mismo código de la notificación. O bien, considere el uso de contraseñas OTP en lugar de push, que tienden a ser más resistentes frente a estos ataques. Sea cual sea la solución que elija, estas técnicas reducirán la posibilidad de que los usuarios finales aprueben accidentalmente solicitudes que no han iniciado.
Acceso adaptable
Las soluciones no deben ser únicas: el contexto también puede emplearse para mitigar los ataques de fatiga de la AMF, limitando la capacidad del posible atacante para enviar spam a usuarios desprevenidos. Acceso adaptable y autenticación basada en el riesgo puede limitar las solicitudes de inicio de sesión a ubicaciones de confianza específicas o dispositivos conocidos, los análisis de comportamiento pueden ayudar a detectar actividades de inicio de sesión anómalas, y la limitación de la tasa puede estrangular los intentos de inicio de sesión fallidos consecutivos.
Sin contraseña
Cuando sea posible, considere métodos sin contraseña como alternativa a la AMF basada en notificaciones. FIDO2, por ejemplo, está diseñado específicamente para resistir la suplantación de identidad y los ataques del tipo "hombre en el medio" (MitM) o "adversario en el medio" (AitM) al requerir una conexión criptográfica directa entre el autenticador y la aplicación web. Sin embargo, incluso con métodos resistentes al phishing como FIDO, la seguridad de la AMF depende del ciclo de vida de las credenciales. Este ciclo de vida comienza con Inscripción en el MFA, pero también incluye eventos como el dispositivo sustitución y restablecimiento de credenciales. Estas actividades son algunas de las instancias más probables para que los atacantes obtengan acceso no autorizado.
Supervisar constantemente
Por último, las organizaciones deben reconocer que la prevención es sólo la mitad de la solución. Los sistemas de identidad también deben ayudar a detectar y corregir los ataques en curso. Los fallos consecutivos en el inicio de sesión o el exceso de intentos son dos ejemplos de posibles indicadores de actividad sospechosa. Esta información puede introducirse en las soluciones de gestión de eventos e información de seguridad (SIEM) para que el personal de operaciones de seguridad la investigue más a fondo, o utilizarse para activar una revisión de la cuenta en un caso de ataque. gobierno y administración de la identidad (IGA).
Al educar a los usuarios e implementar controles más sólidos en torno a sus procesos de MFA, las organizaciones pueden reducir el riesgo de fatiga de MFA. También es importante asegurarse de que la empresa con la que se trabaja cuenta con protecciones en sus sistemas. RSA tiene una papel blanco que ofrece una visión general de nuestras políticas de seguridad con información sobre nuestras medidas de seguridad, incluidas nuestras prácticas, operaciones y controles en torno a ID Plus. Y para obtener información en tiempo real sobre el rendimiento de nuestro sistema y avisos de seguridad, puede visitar nuestra página web página de seguridad.
El enfoque de RSA es más resistente a la fatiga de MFA: es la razón por la que las organizaciones que dan prioridad a la seguridad recurren a nosotros para que les ayudemos a proteger sus negocios. Para obtener más información sobre los riesgos de autenticación y cómo RSA puede ayudarle a dejar atrás la seguridad basada en contraseñas, consulte nuestro resumen de soluciones: Autenticación sin contraseña: Ha llegado el momento y la ayuda está aquí.
###
Pruebe gratis la solución de AMF en la nube más utilizada del mundo.
