Un ataque de fatiga MFA -también conocido como bombardeo MFA- es una táctica, técnica y procedimiento de ataque (TTP) en el que un actor de amenaza inunda a los usuarios con solicitudes de autenticación multifactor (MFA). Al abrumar, confundir o distraer al usuario para que apruebe una solicitud fraudulenta, los agresores esperan obtener acceso a su entorno de red.
Microsoft señaló recientemente que a mediados del año 2023 estaba observando casi 6.000 intentos de fatiga MFA al día. Aprender cómo son estos ataques y cómo defenderse de ellos es una medida inteligente.
¿Qué es el AMF?
La autenticación multifactor (AMF) es una medida de seguridad que requiere que los usuarios proporcionen dos o más tipos distintos de identificación para acceder a una cuenta o sistema. Este enfoque mejora la seguridad: Incluso si un factor de autenticación se ve comprometido, los factores adicionales pueden impedir el acceso no autorizado.
¿Qué es la fatiga del AMF?
La mayoría de los usuarios comprenden el valor de la AMF. Pero muchos se han cansado de las numerosas notificaciones push que componen la jornada laboral moderna. La fatiga de la AMF se produce cuando los usuarios están tan abrumados por las notificaciones que ya no prestan toda su atención a cada una de ellas.
Un ataque de fatiga MFA no es un medio directo de eludir MFA. Más bien, esta TTP explota el error humano y la fatiga durante el proceso de MFA. El método aprovecha la confianza que los usuarios depositan en la MFA y su consiguiente expectativa de que cualquier solicitud de MFA es legítima.
A menudo, el atacante espera que el usuario apruebe una solicitud fraudulenta en medio de una avalancha de solicitudes legítimas. Los ataques de fatiga de MFA ponen de relieve la importancia no solo de contar con MFA, sino también de formar a los usuarios para que sean cautelosos y exigentes con las solicitudes de MFA que aprueban.
El peligro de los ataques por fatiga del AMF
Los ataques por fatiga de la AMF, aunque a menudo sutiles en su ejecución, conllevan profundas implicaciones para la seguridad y la dinámica de confianza dentro de su organización. Estos ataques no solo amenazan directamente su seguridad digital, sino que también afectan negativamente a la confianza y el estado mental de los usuarios.
Estas son algunas de las consecuencias potenciales de un ataque de fatiga AMF.
- Acceso no autorizado: Un peligro inmediato del bombardeo de MFA es una posible violación de los recursos seguros. Supongamos que un usuario aprueba por error una solicitud MFA fraudulenta. Los atacantes pueden aprovechar este error para obtener acceso no autorizado a datos, sistemas o aplicaciones confidenciales. Un ataque de fatiga MFA exitoso no sólo pone en riesgo la información de propiedad de su organización, sino que también puede tener repercusiones legales y financieras.
- Denegación de servicio: La AMF se percibe principalmente como una medida de seguridad para proteger el acceso. Irónicamente, el bombardeo de la AMF puede aprovechar ese proceso para denegar el acceso. Al saturar el sistema con una multitud de solicitudes de AMF, los atacantes pueden provocar un bloqueo, impidiendo que los usuarios legítimos accedan a sus cuentas. Esta situación puede ser especialmente perjudicial si se interrumpen operaciones sensibles al tiempo o procesos empresariales críticos.
- Erosión de la confianza: Quizás el impacto más insidioso del bombardeo de la AMF es su efecto a largo plazo en la percepción y confianza del usuario. Cada solicitud de AMF falsa o innecesaria sirve como recordatorio de la vulnerabilidad del sistema. Con el tiempo, ante las frecuentes falsas alarmas, los usuarios pueden empezar a dudar de la eficacia del sistema AMF. Esta menor confianza puede generar complacencia, haciendo a los usuarios aún más susceptibles a futuros ataques de fatiga de AMF. Además, si los usuarios llegan a ver la AMF como una fuente constante de interrupciones y confusión en lugar de una medida de seguridad esencial, podrían sentirse más inclinados a eludirla o resistirse a ella.
¿Cómo funciona un ataque de fatiga por AMF?
Al comprender los mecanismos que emplean los adversarios, que van desde campañas de phishing engañosas hasta intentos estratégicamente programados, los equipos de seguridad pueden prepararse y defenderse mejor contra estas amenazas insidiosas.
- Iniciación basada en phishing: El atacante comienza enviando correos electrónicos de phishing diseñados para capturar las credenciales primarias del usuario. Cuando el atacante tiene esas credenciales, inicia el proceso de bombardeo de la AMF.
- Generación rápida de peticiones: Utilizando herramientas automatizadas o scripts, el atacante dispara rápidamente múltiples intentos de inicio de sesión. Cada intento desencadena una solicitud MFA al usuario. El objetivo es crear una avalancha de solicitudes MFA y fatiga MFA.
- Solicitudes maliciosas enmascaradas: Entre las solicitudes MFA legítimas que surgen de los intentos de inicio de sesión del atacante, éste puede intercalar solicitudes MFA maliciosas para una cuenta o servicio diferente. El atacante espera que, en la confusión, el usuario apruebe la solicitud equivocada.
- Momento oportuno: El atacante puede programar estratégicamente el ataque para un momento en el que el usuario pueda estar distraído, como al comienzo de la jornada laboral o justo después de la pausa para comer.
Ejemplos de un ataque de fatiga AMF
Los ataques de fatiga MFA parecen ser uno de los favoritos del grupo de ataque Lapsus$, que utilizó el TTP contra Uber en 2022. Cisco también ha sido un objetivo de la fatiga MFA, al igual que varias empresas y organizaciones gubernamentales.
¿Cómo podría desarrollarse un ataque AMF? Considere estos ejemplos.
- Sobrecarga de notificaciones push: Un empleado utiliza una aplicación móvil para MFA, que envía notificaciones push para su aprobación. Un atacante, tras obtener las credenciales de inicio de sesión principales a través de una campaña de phishing independiente, inicia un aluvión de intentos de inicio de sesión. El teléfono del empleado se inunda de notificaciones push. En la confusión subsiguiente, el empleado aprueba inadvertidamente un intento malicioso de inicio de sesión en un sistema o repositorio de datos confidenciales.
- Confusión de códigos SMS: Un empleado recibe códigos MFA por SMS. Un atacante, armado con las credenciales principales del empleado, inicia el proceso de inicio de sesión varias veces en rápida sucesión. El teléfono del empleado es bombardeado con códigos SMS, lo que dificulta discernir cuál de ellos es realmente necesario para una acción legítima que está intentando realizar. En medio del caos, pueden utilizar un código enviado por el atacante para un inicio de sesión malicioso.
- Enmascaramiento de servicios legítimos: Un empleado utiliza varios servicios que dependen de la misma aplicación MFA para la autenticación. Un atacante inicia varios inicios de sesión en un servicio menos crítico, inundando la aplicación MFA con solicitudes. Entre estas solicitudes se esconde una para un servicio más sensible. El empleado abrumado aprueba por error el acceso a este servicio crítico.
Combatir la fatiga del AMF
En el intrincado juego de la ciberdefensa, comprender y combatir las amenazas en evolución requiere una mezcla de concienciación del usuario y sólidas salvaguardas tecnológicas. Considera estas tácticas para ayudar a contrarrestar los ataques de fatiga de AMF.
- Coincidencia numérica: Si una impugnación MFA requiere una coincidencia numérica, el usuario debe tener visibilidad de la sesión de autenticación de origen, lo que no puede ocurrir en un ataque de fatiga MFA.
- Geolocalización: Presentar información de geolocalización, aunque sea inexacta, como parte del reto AMF proporciona más contexto al usuario. Si un usuario ubicado en Los Ángeles recibe una solicitud push con una geolocalización de Copenhague, puede reconocer algo sospechoso en la solicitud.
- Formación de los usuarios: El elemento humano sigue siendo uno de los aspectos más vulnerables de cualquier estrategia de seguridad. Por lo tanto, es primordial una formación exhaustiva de los usuarios. Esto implica no sólo familiarizar a los usuarios con el concepto de ataques por fatiga de la AMF, sino también inculcarles la precaución habitual. Los talleres periódicos, los ataques simulados y los recordatorios constantes pueden ayudar a los usuarios a reconocer actividades sospechosas. Al verificar el contexto de cada solicitud de MFA, sus empleados pueden reducir significativamente la posibilidad de conceder acceso por error.
- Limitación de velocidad: Una de las contramedidas técnicas más eficaces es la limitación de velocidad. Estableciendo un umbral en el número de solicitudes de AMF permitidas en un periodo determinado, se reduce considerablemente la capacidad de los atacantes para inundar a los usuarios con notificaciones. Este enfoque no sólo dificulta la capacidad de los atacantes para confundir al objetivo, sino que también proporciona una capa de protección contra posibles intentos de ataque de fuerza bruta.
- Registro y supervisión: El registro continuo y exhaustivo de los intentos de autenticación tiene un doble propósito. En primer lugar, al mantener un registro detallado, las organizaciones pueden realizar análisis posteriores a los incidentes para comprender y abordar las vulnerabilidades. En segundo lugar, las herramientas de supervisión en tiempo real pueden evaluar estos registros y utilizar el aprendizaje automático o el análisis heurístico para detectar patrones coherentes con un ataque de fatiga de AMF. Cuando surgen tales patrones, las alertas automáticas pueden notificar a los equipos de seguridad para que investiguen más a fondo.
- Mecanismo de retroalimentación: Empoderar a los usuarios para que sean parte activa de la estrategia de defensa puede ser increíblemente eficaz. Mediante la creación de un mecanismo de retroalimentación fácil de usar, los usuarios pueden informar rápidamente sobre mensajes MFA sospechosos u otras anomalías. Esta capacidad no sólo ayuda a los equipos de TI a recibir alertas inmediatas sobre posibles amenazas, sino que también fomenta una cultura de seguridad en la que cada individuo se siente responsable de salvaguardar los activos digitales.
Vencer la fatiga del AMF
El bombardeo de la AMF presenta un reto polifacético, que contrasta los avances tecnológicos de la seguridad con las vulnerabilidades del comportamiento humano. Mediante tácticas como el phishing, la generación rápida de solicitudes y las solicitudes maliciosas enmascaradas, los atacantes han convertido en arma una herramienta destinada a proteger a los usuarios.
La AMF sigue siendo un mecanismo de defensa sólido, pero su eficacia puede verse comprometida cuando los usuarios están abrumados o poco formados. La clave para combatir la fatiga de la AMF no está solo en las contramedidas tecnológicas, sino en la educación y capacitación de los usuarios.
Combinando la concienciación con defensas proactivas, como la limitación de velocidad y los mecanismos de retroalimentación, las organizaciones pueden mantener la inviolabilidad de sus sistemas de seguridad al tiempo que protegen a los usuarios contra la explotación. La concienciación, la vigilancia y la adaptación continua siguen siendo sus mejores aliados.