El bombardeo rápido de MFA es un método de ataque utilizado para eludir la seguridad de la autenticación multifactor (MFA). Esta técnica funciona inundando a los usuarios con mensajes de MFA para acceder a un sistema, con el objetivo de encontrar un mensaje que el usuario acepte.
El bombardeo rápido de MFA es una amenaza cibernética emergente que las organizaciones deben comprender y defenderse. Como autenticación de múltiples factores se ha adoptado más ampliamente para fortalecer la seguridad de las cuentas, los actores de amenazas han desarrollado técnicas para atacar sistemáticamente a los usuarios con solicitudes de autenticación en un intento de obtener acceso. A través de repetidas solicitudes de inicio de sesión, los piratas informáticos intentan confundir o frustrar a los usuarios para que ingresen sus credenciales o su aprobación en un sitio o aplicación maliciosa.
Esta técnica, conocida como bombardeo rápido de MFA, permite a los atacantes eludir la autenticación multifactor y obtener acceso a cuentas y datos confidenciales. Los profesionales de la ciberseguridad y los líderes empresariales necesitan conciencia y educación sobre esta amenaza para proteger sus organizaciones. Al comprender cómo funciona el bombardeo rápido de MFA y las estrategias para mitigar el riesgo, las empresas pueden evitar convertirse en víctimas de este vector de ataque cada vez más común.
La autenticación multifactor (MFA) es un método de autenticación que requiere que el usuario proporcione dos o más factores de verificación para obtener acceso a un recurso como una aplicación, una cuenta en línea o una VPN. MFA agrega una capa adicional de seguridad a los inicios de sesión y las transacciones de los usuarios.
Los métodos de autenticación tradicionales se basan en un único factor: normalmente una contraseña. Sin embargo, las contraseñas pueden robarse, adivinarse o piratearse. A través de MFA, se puede evitar el acceso no autorizado solicitando algo más que una simple contraseña. Esto podría ser en forma de clave de seguridad, un código que se envía a un dispositivo móvil o un escaneo biométrico.
MFA protege contra ataques de phishing, ingeniería social y descifrado de contraseñas. Incluso si un pirata informático obtuviera la contraseña de un usuario, aún necesitaría el segundo factor de autenticación para obtener acceso. Este enfoque múltiple reduce significativamente el riesgo de que la cuenta se vea comprometida.
Hay varios tipos de opciones de MFA:
MFA debe implementarse para cualquier sistema o aplicación que contenga datos o fondos confidenciales para ayudar a reducir riesgos como la apropiación de cuentas y el fraude. Cuando se configura correctamente, MFA es un control eficaz que mejora la seguridad del inicio de sesión y protege cuentas de usuario.
El bombardeo rápido de MFA comienza cuando un atacante obtiene acceso al nombre de usuario y la contraseña de un usuario. Luego, el atacante utiliza la automatización para generar y enviar un gran volumen de intentos de inicio de sesión para la cuenta del usuario. Cada intento de inicio de sesión activa un mensaje de MFA, como un mensaje de texto con un código de un solo uso o una notificación de la aplicación de autenticación.
El atacante continúa generando intentos de inicio de sesión a un ritmo rápido hasta que el usuario acepta un mensaje de MFA, ya sea de forma intencionada o accidental. Aceptar un mensaje le da al atacante el código de autenticación que necesita para acceder a la cuenta del usuario. En este punto, el atacante ha eludido MFA y ha obtenido acceso completo.
El bombardeo rápido de MFA se aprovecha de la psicología del usuario y de la limitada capacidad de atención humana. Cuando se lo bombardea con una avalancha de indicaciones en rápida sucesión, es más probable que un usuario toque o ingrese un código sin pensar para detener las indicaciones. Incluso si el usuario se da cuenta del error inmediatamente, el atacante ya tiene el acceso que necesita.
Para defenderse contra el bombardeo de avisos de MFA, las organizaciones deben monitorear volúmenes inusualmente altos de avisos de MFA para una sola cuenta de usuario. El bombardeo rápido también resalta la necesidad de métodos de autenticación más sólidos que sean más difíciles de eludir, como las claves de seguridad FIDO2, la autenticación biométrica y la MFA basada en riesgos. Al implementar políticas adaptables de MFA y un sólido monitoreo de autenticación, las empresas pueden reducir los riesgos de bombardeos rápidos y otras técnicas de elusión de MFA.
Los ataques rápidos con bombas de MFA se dirigen a usuarios que tienen acceso a sistemas críticos intentando abrumarlos con solicitudes de autenticación. Estos ataques de fuerza bruta tienen como objetivo negar el acceso a usuarios legítimos bloqueándolos de cuentas y sistemas.
Los ciberdelincuentes suelen emplear botnets, redes de ordenadores infectados, para llevar a cabo ataques de bombardeo rápido de MFA. Los robots están programados para intentar repetidamente la autenticación en sistemas de destino utilizando listas de credenciales robadas o adivinadas. Debido al gran volumen de intentos de inicio de sesión, los sistemas MFA de destino bloquean las cuentas para evitar el acceso no autorizado. Sin embargo, esto también impide que los usuarios válidos accedan a sus cuentas.
Otra táctica común utilizada en los bombardeos rápidos del MFA es relleno de credenciales. Los piratas informáticos obtienen listas de nombres de usuarios y contraseñas de filtraciones y violaciones de datos anteriores. Luego, introducen estas credenciales en la página de inicio de sesión del sistema de destino lo más rápido posible. Los repetidos intentos fallidos de inicio de sesión activan los mecanismos de bloqueo de la cuenta, lo que resulta en la denegación de servicio.
Hay varios métodos que las organizaciones pueden emplear para mitigar la amenaza de un bombardeo rápido del MFA:
El rápido bombardeo de MFA amenaza a las organizaciones al negar a los usuarios el acceso a sus cuentas y sistemas. Sin embargo, con la vigilancia y las salvaguardias adecuadas, los riesgos que plantean este tipo de ataques de fuerza bruta pueden mitigarse significativamente. La monitorización continua y la adaptación a las amenazas en evolución son clave.
Para detectar un bombardeo rápido del MFA, las organizaciones deben implementar las siguientes medidas de seguridad:
El monitoreo de un volumen inusualmente alto de intentos fallidos de inicio de sesión, especialmente en múltiples cuentas o fuentes, puede indicar actividad de bombardeo rápido de MFA. Es probable que los ciberdelincuentes prueben diferentes contraseñas y nombres de usuario en un intento de adivinar las credenciales correctas. Las organizaciones deben establecer umbrales para detectar estas anomalías y recibir alertas cuando ocurran.
La revisión de las indicaciones de MFA y las respuestas de los usuarios puede descubrir signos de bombardeo de indicaciones de MFA, como:
El análisis de los registros de la red privada virtual (VPN) y la actividad de la red también puede revelar un bombardeo rápido de MFA. Las cosas que debe buscar incluyen:
Las organizaciones deben implementar controles de seguridad de identidad adicionales para reducir el riesgo de ataques instantáneos de MFA, como:
Al mantener la vigilancia e implementar una sólida estrategia de seguridad de la identidad, las organizaciones pueden detectar y mitigar la amenaza de bombardeos rápidos de MFA. Es esencial implementar una estrategia de seguridad proactiva en personas, procesos y tecnología para combatir los rápidos ataques con bombas del MFA.
Para evitar el bombardeo rápido de MFA, las organizaciones deben implementar la autenticación multifactor (MFA) en todos los recursos y cuentas de usuario conectados a Internet. MFA agrega una capa adicional de seguridad que requiere no solo una contraseña sino también otro método de verificación, como un código de seguridad enviado por mensaje de texto o una aplicación de autenticación. Con MFA habilitado, los atacantes que utilicen credenciales robadas no podrán obtener acceso a menos que también tengan acceso al teléfono o al dispositivo de autenticación del usuario.
Algunas opciones del MFA son más susceptibles a un bombardeo inmediato que otras. Los mensajes de texto SMS y las llamadas de voz pueden verse comprometidos, lo que permite a los atacantes interceptar códigos de autenticación. Los tokens de hardware y las aplicaciones de autenticación brindan un mayor nivel de seguridad. Las claves de seguridad, como YubiKeys, ofrecen la protección más sólida y deben usarse para administradores y cuentas privilegiadas cuando sea posible.
Los equipos de seguridad deben monitorear las cuentas de los usuarios y las solicitudes de autenticación en busca de signos de intentos de bombardeo rápidos. Cosas como una cantidad inusualmente alta de avisos de MFA en un corto período de tiempo, avisos de MFA que se originan en direcciones IP sospechosas o informes de SMS o mensajes de phishing de voz que afirman ser códigos MFA pueden indicar un bombardeo rápido. Los ataques detectados deberían provocar un restablecimiento inmediato de la contraseña y una revisión de la actividad de la cuenta del usuario.
Educar a los usuarios sobre MFA y los bombardeos rápidos ayuda a reducir el riesgo. La formación debe cubrir:
Con los controles adecuados y la educación de los usuarios, las organizaciones pueden reducir la amenaza de bombardeos rápidos de MFA y fortalecer la higiene de seguridad general de sus usuarios. Sin embargo, como ocurre con cualquier defensa de ciberseguridad, se requiere una vigilancia continua y revisiones periódicas de nuevas amenazas y técnicas de mitigación.
Para evitar ataques explosivos rápidos, las organizaciones deben implementar una solución MFA que utilice códigos de acceso de un solo uso (OTP) generados dinámicamente en lugar de mensajes de texto SMS. Estas soluciones generan una nueva OTP cada vez que un usuario inicia sesión, por lo que los atacantes no pueden reutilizar códigos para obtener acceso no autorizado.
Los tokens de hardware, como YubiKeys, generan OTP que cambian con cada inicio de sesión. Dado que los códigos se generan en el dispositivo, los atacantes no pueden interceptarlos mediante SMS o llamadas de voz. Los tokens de hardware ofrecen un alto nivel de seguridad, pero pueden requerir una inversión inicial para comprarlos. También requieren que los usuarios lleven un dispositivo físico adicional, lo que a algunos les puede resultar inconveniente.
Aplicaciones de autenticación como Google Authenticator, Azure MFA, Silverforty Duo generan OTP en el teléfono del usuario sin depender de SMS o llamadas de voz. Las OTP cambian con frecuencia y las aplicaciones no transmiten los códigos a través de una red, por lo que es muy difícil para los atacantes interceptarlos o reutilizarlos. Las aplicaciones de autenticación son una solución MFA segura, conveniente y de bajo costo para organizaciones con un presupuesto limitado. Sin embargo, todavía requieren que los usuarios tengan un dispositivo capaz de ejecutar la aplicación móvil.
La autenticación biométrica, como el escaneo de huellas dactilares, rostro o iris, ofrece una solución MFA que es muy resistente a bombardeos rápidos y otros ataques cibernéticos. Los datos biométricos son difíciles de replicar para usuarios no autorizados, ya que se basan en las características físicas del usuario. También son muy convenientes para los usuarios ya que no requieren ningún dispositivo ni software adicional. Sin embargo, los sistemas biométricos suelen requerir una inversión inicial considerable para adquirir el hardware y el software de escaneo necesarios. También pueden generar preocupaciones sobre la privacidad de algunos.
Soluciones MFA que generan OTP en el dispositivo, como tokens de hardware, aplicaciones de autenticación y datos biométricos, ofrecen la protección más sólida contra bombardeos rápidos y otros ataques automatizados. Las organizaciones deben evaluar estas opciones en función de sus necesidades de seguridad, presupuesto y preferencias de los usuarios. Con la solución adecuada de AMF, se pueden mitigar eficazmente los bombardeos rápidos.
Si su organización ha sido víctima de un ataque con bomba inmediata del MFA, es importante tomar las siguientes medidas para mitigar los riesgos y evitar daños mayores:
Trabaje con su equipo de seguridad para determinar cuántas cuentas de usuario fueron atacadas y comprometidas. Verifique inicios de sesión no autorizados y revise los registros de actividad de la cuenta para identificar las cuentas a las que se accedió. Determine también a qué datos o recursos pueden haber tenido acceso los atacantes. Esta investigación ayudará a determinar la gravedad del incidente y la respuesta adecuada.
Para cualquier cuenta que haya sido comprometida, restablezca inmediatamente las contraseñas y las indicaciones de MFA. Genere contraseñas seguras y únicas para cada cuenta y habilite MFA utilizando una aplicación de autenticación en lugar de mensajes de texto SMS. Asegúrese de que los usuarios habiliten MFA en todas las cuentas, no solo en la que se vio comprometida. Los atacantes suelen utilizar el acceso a una cuenta para acceder a otras.
Revise sus políticas y procedimientos de seguridad asignados a cada usuario para identificar y corregir cualquier brecha de seguridad que haya contribuido al ataque. Por ejemplo, es posible que deba aplicar políticas de contraseñas más seguras, limitar los intentos de inicio de sesión de la cuenta, restringir el acceso a la cuenta según la ubicación o la dirección IP, o aumentar el monitoreo de los inicios de sesión de la cuenta. Se debe requerir autenticación multifactor para todas las cuentas, especialmente las cuentas de administrador.
Supervise de cerca todas las cuentas durante los próximos meses para detectar cualquier signo de acceso no autorizado o intentos de apropiación de cuentas. Los atacantes pueden continuar atacando cuentas incluso después del compromiso inicial para mantener el acceso. Verifique continuamente el inicio de sesión de la cuenta y los registros de actividad para identificar cualquier comportamiento anómalo lo antes posible.
Para ataques a mayor escala, comuníquese con las autoridades locales y denúncie el delito cibernético. Proporcione todos los detalles sobre el ataque que puedan ayudar en una investigación. Las autoridades también pueden tener recomendaciones adicionales sobre cómo proteger su red y sus cuentas para evitar futuros ataques.
Es importante tomar medidas rápidas y exhaustivas en caso de un ataque de bombardeo inmediato de MFA para limitar los daños, proteger sus sistemas y minimizar las posibilidades de un mayor compromiso. El monitoreo y la vigilancia constante son necesarios para protegerse contra ataques de seguimiento por parte de actores maliciosos después de un ataque. Con una respuesta rápida y colaboración, las organizaciones pueden superar los impactos dañinos del bombardeo inmediato del MFA.
