Este post se publicó por primera vez en 2022 y ha sido actualizado.
Con informes recientes sobre el éxito del bombardeo rápido del AMF, RSA ha recibido más solicitudes de orientación práctica sobre cómo reducir el riesgo. Ya hemos explicado cómo los atacantes utilizan repetidas solicitudes de aprobación para presionar a los usuarios para que acepten un intento de inicio de sesión fraudulento. Este artículo parte de esa base y se centra en los siguientes aspectos específicos RSA ID Plus que puede utilizar para detectar patrones sospechosos, limitar las aprobaciones push cuando el riesgo es elevado y reforzar sus defensas contra el bombardeo de solicitudes MFA.
MFA prompt bombing, también llamado push bombing o an Ataque de fatiga por AMF, es cuando un atacante lanza repetidamente solicitudes de aprobación MFA al dispositivo de un usuario. El objetivo es abrumar al usuario hasta que apruebe una solicitud, a menudo después de que el atacante ya haya obtenido la contraseña del usuario.
Esto funciona porque el autenticación multifactor depende de que el usuario rechace solicitudes sospechosas en el momento. Los factores que requieren la intervención deliberada del usuario, como la introducción de un código de acceso de un solo uso o el uso de un autenticador resistente al phishing, suelen ser menos susceptibles porque un atacante no puede limitarse a enviar aprobaciones por spam.
Los ataques MFA prompt bombing, push bombing y MFA fatigue suelen comenzar después de que un atacante haya obtenido un nombre de usuario y una contraseña válidos. El atacante intenta iniciar sesión y lanza repetidamente solicitudes MFA basadas en push al dispositivo registrado del usuario. Cada solicitud pide al usuario que apruebe o rechace el intento de inicio de sesión.
Dado que la autenticación push está diseñada para ser cómoda, los usuarios pueden aprobar el acceso con un solo toque. Si se envían suficientes solicitudes seguidas, un usuario distraído o cansado puede acabar aprobando una petición, lo que permite al atacante completar el proceso de autenticación.
La autenticación basada en push funciona bien en escenarios legítimos porque elimina la necesidad de un autenticador físico y reduce la fricción en comparación con los tokens de hardware o las contraseñas de un solo uso introducidas manualmente. Sin embargo, este modelo de aprobación o denegación depende de que el usuario reconozca y rechace intentos sospechosos, lo que crea una oportunidad para ataques de bombardeo inmediato.
Tipos de ataques de bombardeo
Aunque la mayoría de los ataques de bombardeo de AMF tienen como objetivo las notificaciones push, existen variaciones que los equipos de seguridad deben conocer:
- Push Bombing (Fatiga clásica del AMF): Se envían notificaciones push repetidas hasta que el usuario aprueba una solicitud.
- Ataques híbridos de ingeniería social: Tras iniciar el bombardeo push, el atacante se pone en contacto con el usuario, haciéndose pasar por el servicio de asistencia informática, y le ordena que apruebe la solicitud.
- Intentos de inundación OTP: En algunos casos, los atacantes activan repetidamente contraseñas de un solo uso a través de SMS u otros canales de entrega, intentando confundir al usuario o combinando la táctica con el phishing.
Comprender estas variaciones ayuda a las organizaciones a diseñar defensas en capas en lugar de confiar únicamente en la vigilancia del usuario.
Los ataques de bombardeo de avisos tienen éxito porque se dirigen tanto al comportamiento humano como a la tecnología. Cuando los usuarios reciben repetidas solicitudes de autenticación, llamadas telefónicas o mensajes, los atacantes pretenden crear confusión, urgencia y un comportamiento rutinario de aprobación. Por eso, la defensa contra la fatiga de la AMF empieza por ofrecer a los usuarios expectativas claras, vías de información sencillas y formas fiables de verificar las solicitudes sospechosas.
El usuario necesita formación continua para mantener la concienciación
Los usuarios deben saber que cualquier solicitud de autenticación que no hayan iniciado debe considerarse sospechosa. La formación anual en materia de seguridad puede contribuir al cumplimiento de las normas, pero rara vez prepara a los usuarios para la autenticación. a los usuarios por los intentos de ingeniería social que se producen rápidamente. Una orientación breve y repetida es más eficaz porque refuerza lo que parece un comportamiento sospechoso en situaciones reales.
Los usuarios necesitan una forma clara de responder
Cuando los usuarios reciben una notificación push inesperada o un mensaje de seguimiento, deben saber exactamente qué hacer a continuación. Eso significa ofrecer una forma sencilla y conocida de informar del problema y ponerse en contacto con el servicio de asistencia o el equipo de seguridad. Cuanto más fácil sea este proceso, más probable será que los usuarios actúen con rapidez.
La verificación reduce el riesgo de ingeniería social
Los atacantes suelen combinar los bombardeos push con llamadas, textos, correos electrónicos o mensajes de chat para presionar a los usuarios para que aprueben una solicitud. Las organizaciones deben definir cómo los equipos de soporte contactan legítimamente con los usuarios y ofrecer a los empleados un método de confianza para verificar las comunicaciones antes de actuar.
Preguntas
Los equipos de seguridad deben tener en cuenta las siguientes cuestiones para defenderse de los ataques de bombardeo inmediato de AMF:
- ¿Saben los usuarios cómo responder a una solicitud push inesperada?
- ¿Pueden los usuarios informar rápidamente de un evento de autenticación sospechoso?
- ¿Saben los empleados cómo ponerse en contacto con el servicio de atención al cliente o el equipo de seguridad?
- ¿Comprenden los usuarios cómo debe producirse la divulgación legítima del apoyo?
- ¿Existe un proceso claro para verificar si un mensaje, llamada o aviso es real?
En los escenarios de bombardeo de avisos, los atacantes generan aprobaciones push repetidas en un corto periodo de tiempo. Los usuarios suelen rechazar o ignorar las primeras solicitudes, pero una sola aprobación accidental puede completar el inicio de sesión. Esto hace que la detección basada en patrones sea esencial.
Busca indicadores como:
- Rechazos o tiempos de espera repetidos para el mismo usuario en un breve espacio de tiempo
- Múltiples solicitudes MFA en rápida sucesión, especialmente fuera del comportamiento normal de inicio de sesión
- Intentos de inicio de sesión desde dispositivos, direcciones IP o ubicaciones desconocidas. vinculados a la misma cuenta
- Un pico de actividad push entre varios usuarios, lo que puede indicar una campaña más amplia
Un solo push denegado no indica un ataque. Múltiples denegaciones o tiempos de espera agrupados, especialmente cuando se combinan con otras señales de riesgo, deben desencadenar una investigación.
Detección de un pronto bombardeo en el RSA ID Plus
Cada evento de autenticación en RSA ID Plus se registra con datos de eventos detallados que pueden utilizarse para identificar patrones de bombardeo puntuales. Los equipos de seguridad deben vigilar la aparición repetida o anormal de eventos como:
- 702 - La autenticación de aprobación ha fallado: La respuesta del usuario ha expirado
- 703 - La autenticación de aprobación ha fallado: Usuario con aprobación denegada
- 802 - Ha fallado la autenticación biométrica del dispositivo: Tiempo de espera agotado
- 803 - Fallo en la autenticación biométrica del dispositivo
Cuando estos eventos aparecen en sucesión para el mismo usuario, pueden indicar un intento de bombardeo MFA activo. Emparejar estos patrones de registro con señales de dispositivo, ubicación y confianza mejora la precisión y ayuda a los equipos a responder antes de que se produzca una aprobación exitosa.
Una defensa eficaz requiere algo más que decir a los usuarios que no aprueben solicitudes desconocidas. Las organizaciones deben combinar la educación de los usuarios, opciones de factor más potentes y supervisión para reducir las oportunidades de abuso.
La AMF basada en push es vulnerable porque depende de que el usuario tome la decisión correcta en el momento. Los factores que requieren la acción deliberada del usuario, como los códigos de acceso de un solo uso o los autenticadores resistentes a la suplantación de identidad, suelen ser menos susceptibles a las solicitudes de aprobación repetidas.
Las medidas defensivas clave incluyen:
- Eduque a los usuarios para que rechacen las solicitudes inesperadas, las notifiquen inmediatamente y restablezcan las credenciales cuando proceda.
- Prefiera factores más fuertes para aplicaciones, usuarios y escenarios de acceso de mayor riesgo.
- Supervise si se deniegan repetidamente las solicitudes o si se agota el tiempo de espera y alerte sobre patrones sospechosos.
- Asegure la inscripción y recuperación de MFA para que los atacantes no puedan registrar un nuevo dispositivo después de obtener acceso.
- Notifique a los usuarios cuando se añadan, eliminen o modifiquen autenticadores.
- Investigue los indicios de credenciales comprometidas y revise si las políticas de AMF permiten demasiado acceso con una verificación limitada.
Cuando estos controles funcionan conjuntamente, las organizaciones limitan su exposición a los ataques de bombardeo inmediato.
En RSA ID Plus, Los métodos de autenticación se asignan a niveles de seguridad, y los administradores pueden crear políticas que determinen qué nivel de seguridad se requiere en función del contexto. Cuando el riesgo es elevado, las políticas pueden exigir métodos de autenticación más fuertes en lugar de permitir la aprobación push.
RSA ID Plus también admite un enfoque más dinámico mediante Identidad Confianza. El motor de confianza evalúa los intentos de autenticación en tiempo real y devuelve una puntuación de confianza alta o baja. Esta señal puede utilizarse en las decisiones políticas para permitir aprobaciones push cuando la confianza es alta y requerir autenticación escalonada cuando la confianza es baja.
Para los usuarios marcados como de alto riesgo, la lista de usuarios de alto riesgo permite controles más estrictos. Las herramientas de seguridad pueden marcar a un usuario como de alto riesgo basándose en alertas o actividad sospechosa, y las políticas pueden entonces denegar el acceso o exigir factores de mayor garantía para reducir la exposición a tácticas de fatiga de MFA.
Si apruebas una solicitud de MFA que no has iniciado, considéralo un posible riesgo para la cuenta. Informe inmediatamente del incidente a su equipo de seguridad, cambie su contraseña y revise la actividad de inicio de sesión reciente en busca de sesiones o dispositivos sospechosos. Su equipo de seguridad también debe revocar las sesiones activas, confirmar que no se han registrado nuevos autenticadores y exigir una autenticación escalonada antes de restablecer el acceso.
El bombardeo de solicitudes MFA, también llamado push bombing o ataque de fatiga MFA, se produce cuando un atacante lanza repetidamente solicitudes de aprobación MFA al dispositivo de un usuario. El objetivo es abrumar al usuario hasta que apruebe una solicitud, a menudo después de que el atacante haya obtenido la contraseña del usuario.
No la apruebe. Rechaza la solicitud si tienes esa opción e informa a tu equipo de seguridad lo antes posible. Si recibe solicitudes repetidas, deténgase y verifique si alguien está intentando iniciar sesión en su cuenta. Como medida de precaución, restablece tu contraseña y sigue las directrices de tu organización para validar la seguridad de dispositivos y cuentas.
La detección suele basarse en patrones. Busque denegaciones o tiempos de espera repetidos para el mismo usuario en un período corto, ráfagas de solicitudes de MFA fuera del comportamiento normal de inicio de sesión, o intentos de inicio de sesión desde dispositivos o ubicaciones desconocidos. Estos patrones son señales más fuertes cuando se correlacionan con otros indicadores de riesgo.
Reduzca la dependencia de las aprobaciones de los usuarios. Utilice políticas que limiten cuándo se permite la autenticación push, exija una autenticación escalonada cuando el riesgo sea elevado y controle las solicitudes denegadas o temporizadas repetidamente. Asegurar la inscripción y recuperación de MFA también es importante para que los atacantes no puedan registrar un nuevo dispositivo después de obtener acceso.
La AMF push puede ser eficaz, pero es más susceptible a las tácticas basadas en la fatiga porque depende de que el usuario tome rápidamente la decisión correcta. Las organizaciones pueden reducir el riesgo combinando el push con controles basados en el riesgo, opciones de autenticación más sólidas para los accesos de mayor riesgo y alertas sobre patrones de solicitud anómalos.
Las contraseñas de un solo uso suelen ser menos susceptibles de ser bombardeadas porque el atacante no puede enviar aprobaciones por spam. Sin embargo, los métodos OTP pueden ser objeto de phishing o interceptación, dependiendo del método de entrega. Muchas organizaciones utilizan autenticadores OTP y resistentes al phishing como opciones avanzadas cuando el riesgo es elevado.
Sí, este es un paso común. Después de obtener acceso, los atacantes pueden intentar registrar un nuevo autenticador para mantener la persistencia. Las defensas incluyen asegurar los flujos de trabajo de inscripción, exigir una mayor garantía para los cambios de dispositivo y notificar a los usuarios cuando se añaden o eliminan autenticadores.
