La autenticación multifactor, o MFA, es desde hace tiempo la piedra angular de la gestión de identidad y acceso. Al requerir a los usuarios que complementen las combinaciones convencionales de nombre de usuario y contraseña con factores de autenticación adicionales, que van desde huellas dactilares a códigos de acceso de un solo uso o claves de seguridad, las organizaciones pueden proteger mejor sus redes y datos contra los ataques que utilizan credenciales robadas.
Sin embargo, los ciberdelincuentes están encontrando nuevas formas de eludir la autenticación multifactor. Microsoft detectó recientemente una campaña de phishing, cuyo objetivo eran más de 10 000 organizaciones, que utilizaba técnicas de ataque en ruta. Los ciberdelincuentes utilizaban sitios de proxy inverso para simular una página de inicio de sesión fraudulenta de Microsoft 365, desde la que podían interceptar las contraseñas y las cookies de sesión de los usuarios. Esto les permitía eludir las medidas de autenticación multifactor y acceder a numerosas cuentas de correo electrónico.
Una vez que los ciberdelincuentes accedían a las cuentas de usuarios legítimos, creaban reglas de bandeja de entrada que les permitían llevar a cabo ataques al correo electrónico corporativo (BEC) selectivos contra contactos desprevenidos y mantener el acceso a las cuentas, aunque los usuarios cambiaran posteriormente sus contraseñas.
Este ataque hizo saltar las alarmas de las organizaciones que implementaban la autenticación multifactor. Al fin y al cabo, las medidas de la autenticación multifactor están diseñadas para verificar la identidad del usuario, ayudando a demostrar que los empleados, los proveedores y otras partes autorizadas son quienes afirman ser antes de concederles acceso a información y a sistemas confidenciales. Cuando los atacantes consiguen suplantar con éxito a usuarios legítimos, la puerta queda abierta de par en par.
Pero la autenticación multifactor no es el eslabón débil, ni las organizaciones deberían desecharla en favor de métodos menos eficaces de gestión de identidad y acceso. Para proteger a los usuarios y los datos contra los ciberataques avanzados se requiere una estrategia integral de seguridad Zero Trust, que utilice medidas de autenticación eficaces para verificar y supervisar continuamente todas las cuentas, aplicaciones y puntos finales de una red corporativa.
Los ataques en ruta no son el único enfoque que han utilizado recientemente los ciberdelincuentes para poner el riesgo la autenticación multifactor. El FBI y la CISA notificaron un ciberataque ruso que utilizó un ataque por fuerza bruta a la contraseña para acceder a una cuenta inactiva de una organización no gubernamental. Una vez que el ciberdelincuente consiguió entrar en la cuenta, utilizó una vulnerabilidad denominada "PrintNightmare" para ejecutar un código que le otorgaba privilegios del sistema y eludía los controles de autenticación multifactor estándar.
En otras circunstancias, la autenticación multifactor se ha visto en riesgo debido a un error humano. Después de que la Universidad de Siracusa implementara la autenticación multifactor en sus sistemas internos de correo electrónico, los ciberdelincuentes intentaron enviar correo no deseado a los estudiantes y al personal con un ataque llamado "MFA fatigue". Los ciberdelincuentes utilizaron el phishing y otros métodos para acceder a las credenciales de correo electrónico. A continuación, enviaron múltiples solicitudes de autenticación multifactor a los dispositivos de los usuarios con la esperanza de que estos se sintieran tan agobiados por las solicitudes que no las denegarlas. Una vez que un usuario aprobaba una solicitud de autorización (aunque solo fuera para silenciar su teléfono), el atacante obtenía más acceso a los recursos y a las cuentas de la universidad.
Aunque los ciberdelincuentes siguen encontrando nuevas formas de poner en riesgo la autenticación multifactor, esto no indica una debilidad de los propios protocolos de la autenticación multifactor. Al contrario: según la Viceconsejera de Seguridad Nacional para Tecnología Cibernética y Emergente, Anne Neuberger, el uso de la autenticación multifactor puede evitar hasta el 90 % de los intentos de ciberataque. Es importante recordar que los ciberataques son complejos. El objetivo de los atacantes no es simplemente la autenticación multifactor para infiltrarse en cuentas, sino parte de una cadena de ataques, que también pueden utilizar el phishing, el malware, la adivinación de contraseñas por fuerza bruta, la explotación de vulnerabilidades sin resolver, las credenciales robadas o una combinación de otras tácticas.
La aplicación de una única táctica de seguridad no protegerá a una organización de ataques cada vez más sofisticados. Al igual que los ciberdelincuentes recurren a múltiples tácticas para acceder a cuentas confidenciales, las organizaciones necesitan una estrategia de seguridad multidimensional para proteger a sus usuarios y sus datos.
La arquitectura Zero Trust es un principio fundamental de la ciberseguridad moderna que desconfía intrínsecamente de cualquier usuario que intente acceder a los recursos de una organización. Esto dificulta a los atacantes, ya estén dentro o fuera de una organización, infiltrarse en una red o en una cuenta.
En la práctica, una plataforma Zero Trust permite a las organizaciones proteger sus redes mediante múltiples métodos, entre los que se incluyen los siguientes:
Autenticación multifactor: la autenticación multifactor puede implementarse utilizando códigos de acceso de un solo uso, notificaciones push, datos biométricos del usuario (p. ej., la huella dactilar o el reconocimiento facial), claves de seguridad u otros métodos de verificación de la identidad del usuario y del dispositivo.
Supervisión y validación continuas: los usuarios y los dispositivos deben volver a autenticarse continuamente, lo que dificulta a los atacantes el acceso sistemático a una red, aunque utilicen credenciales robadas.
Acceso con privilegio mínimo: no se proporciona a los usuarios acceso a toda la red, sino solo a los recursos que necesitan utilizar.
Control de acceso a los dispositivos: los dispositivos que se conectan a la red deben estar autorizados y supervisados para detectar señales de actividad sospechosa.
Prevención del movimiento lateral: la microsegmentación ayuda a evitar el movimiento lateral restringiendo el acceso a zonas específicas de la red.
Con una estrategia Zero Trust, los ataques basados en la autenticación multifactor tienen muchas menos probabilidades de éxito. Aunque un atacante consiga acceder a una cuenta de usuario, no tendrá acceso ilimitado a toda la red, ni podrá desplazarse lateralmente sin volver a autenticar continuamente la identidad del usuario y del dispositivo.
Cloudflare Zero Trust ayuda a proteger las redes corporativas y a los usuarios contra sofisticados ciberataques, incluso contra aquellos que intentan explotar las medidas de la autenticación multifactor. La plataforma Zero Trust consolidada de Cloudflare simplifica a las organizaciones la aplicación de controles coherentes de acceso de privilegio mínimo en las aplicaciones en la nube, locales y SaaS. También impide que los atacantes accedan a sistemas y datos confidenciales y se desplacen lateralmente dentro de las organizaciones.
Este artículo forma parte de un conjunto de publicaciones sobre las últimas tendencias y temas que afectan a los responsables de la toma de decisiones sobre tecnología en la actualidad.
Después de leer este artículo podrás entender:
Cómo utilizan los ciberdelincuentes las tácticas de phishing para eludir la autenticación multifactor
Cómo la autenticación multifactor en riesgo abre la puerta al robo de datos y a otros ataques
Las estrategias esenciales para evitar la explotación de la autenticación multifactor
La autenticación multifactor es un componente esencial de una estrategia eficaz de gestión de identidad y acceso. Para descubrir cómo encaja la autenticación multifactor en un modelo de seguridad Zero Trust más amplio, obtén el resumen de la solución, Cómo ayuda una autenticación sólida a detener los ataques de phishing.