Evasión de MFA - Técnicas que derrotan la autenticación multifactor
Lectura de 2 min aprox.
El bypass de MFA es el término colectivo para las técnicas de ataque que eluden la autenticación multifactor (MFA) para lograr un acceso no autorizado. La MFA es una defensa mucho más sólida que una contraseña por sí sola, pero la sobreconfianza en la idea de que «implementar MFA te hace seguro» es peligrosa. Los atacantes desarrollan continuamente técnicas que explotan las debilidades en las implementaciones de MFA y la psicología humana, y desde 2022 se han sucedido brechas a gran escala que usan el bypass de MFA.
Ataques AiTM (Adversary-in-the-Middle)
Un ataque AiTM es una técnica en la que el atacante coloca un proxy inverso entre el usuario y el sitio legítimo y retransmite todo el proceso de autenticación. La contraseña y el código MFA introducidos por el usuario se reenvían al sitio legítimo en tiempo real, y se roba el token de sesión emitido tras la autenticación exitosa.
ID + contraseña + MFA
Retransmite las credenciales
Autenticación exitosa
Secuestro de sesión
Evilginx2 es una herramienta de código abierto que automatiza los ataques AiTM, ejecutando todo de una sola vez, desde generar páginas de phishing hasta extraer los tokens de sesión. El atacante solo necesita establecer el token robado en su propio navegador para acceder a la cuenta como una sesión que ya ha pasado la MFA. Es una forma de secuestro de sesión, pero es más grave que las técnicas convencionales porque elude por completo la MFA.
Ataques de fatiga de MFA - El caso de Uber de 2022
Un ataque de fatiga de MFA (MFA Fatigue / MFA Bombing) es una técnica de ingeniería social que apunta a la MFA por notificación push. El atacante intenta iniciar sesión repetidamente con una contraseña robada, bombardeando el smartphone de la víctima con una avalancha de notificaciones push. Al enviar notificaciones de forma persistente a altas horas de la noche o en la madrugada, el atacante espera a que la víctima toque «Aprobar» por error.
En la brecha de Uber de septiembre de 2022, un atacante de 18 años atravesó la MFA de un empleado usando esta técnica. Tras enviar una avalancha de notificaciones push a altas horas de la noche, según se informa el atacante contactó al empleado por WhatsApp haciéndose pasar por soporte de TI, diciendo «las notificaciones no se detendrán a menos que apruebes», y logró que el empleado aprobara. Este incidente llamó la atención mundial sobre los peligros de los ataques de fatiga de MFA e impulsó a Microsoft y Okta a introducir el emparejamiento de números (Number Matching) para las notificaciones push. Lo explicamos en detalle en nuestro artículo sobre los ataques de fatiga de MFA.
Robo de OTP por SMS mediante intercambio de SIM
El intercambio de SIM es una técnica en la que el atacante se hace pasar por el operador móvil para transferir el número de teléfono de la víctima a la SIM del atacante. Como el OTP (contraseña de un solo uso) enviado por SMS llega al dispositivo del atacante, la MFA basada en SMS queda completamente anulada. Se han reportado muchos casos de daños cuantiosos, como el secuestro en 2019 de la cuenta del CEO de Twitter, Jack Dorsey, y el robo de activos de clientes en exchanges de criptomonedas.
Robo de tokens de sesión
Si se roba el token de sesión (cookie) emitido tras superar la MFA, no es necesario eludir la propia MFA. El malware infostealer extrae las cookies de sesión almacenadas en el navegador y las envía al servidor C2 del atacante. Las cookies robadas se usan en ataques de «pass-the-cookie», lo que permite al atacante apropiarse de la sesión de la víctima tal cual. Explicamos las contramedidas en detalle en nuestro artículo sobre la defensa contra el robo de tokens de sesión.
Contramedidas con MFA resistente al phishing
| Método de MFA | Resistencia a AiTM | Resistencia a la fatiga de MFA | Resistencia al intercambio de SIM |
|---|---|---|---|
| OTP por SMS | ✗ | - | ✗ |
| App TOTP | ✗ | - | ✓ |
| Notificación push | ✗ | ✗ (sin emparejamiento de números) | ✓ |
| FIDO2 / clave de acceso | ✓ | ✓ | ✓ |
La MFA resistente al phishing es un método de autenticación resistente a todas las técnicas de bypass anteriores. En la autenticación basada en FIDO2 / WebAuthn, la clave privada nunca sale del dispositivo y el origen (el dominio al que se conecta) se verifica criptográficamente en el momento de la autenticación, por lo que las solicitudes de autenticación dirigidas a través de un proxy AiTM se rechazan automáticamente.
«Tenemos MFA, así que estamos seguros» es una idea anticuada. El OTP por SMS y las notificaciones push ya no pueden considerarse defensas suficientes. Comparamos cada método en nuestro artículo sobre la autenticación de dos factores, y explicamos medidas defensivas concretas en nuestro artículo sobre los ataques de fatiga de MFA.
También puedes encontrar libros sobre seguridad de la autenticación en Amazon.
¿Te resultó útil este artículo?