MFA resistente al phishing - Autenticación infalsificable

Lectura de 2 min aprox.

La MFA resistente al phishing (Phishing-Resistant MFA) se refiere a un método de autenticación multifactor que no puede vulnerarse aunque las credenciales sean robadas mediante un ataque de phishing. En concreto, esto incluye la autenticación basada en FIDO2/WebAuthn y en PKI (infraestructura de clave pública). La Agencia de Ciberseguridad y Seguridad de las Infraestructuras de EE. UU. (CISA) considera la MFA resistente al phishing como el «estándar de oro de la MFA» y recomienda su adopción a todas las organizaciones.

La recomendación de CISA y el mandato del gobierno de EE. UU.

En enero de 2022, la administración Biden emitió el memorando M-22-09 de la Oficina de Administración y Presupuesto (OMB), que obligaba a las agencias federales a adoptar la MFA resistente al phishing. Este memorando forma parte de la migración hacia una arquitectura de confianza cero y distingue claramente que «SMS OTP y TOTP no son resistentes al phishing». El contexto es el aumento de ataques sofisticados que la MFA tradicional no podía evitar, como el incidente de SolarWinds de 2020 y el ataque a Colonial Pipeline de 2021.

Métodos resistentes al phishing frente a métodos no resistentes

Resistencia a los ataques AiTM (adversario en el medio)

Un ataque AiTM (adversario en el medio) es una técnica sofisticada en la que el atacante coloca un proxy inverso entre el usuario y el sitio legítimo, retransmitiendo y robando credenciales y cookies de sesión en tiempo real. Cuando el usuario introduce su contraseña y su OTP en el sitio falso, el atacante los reenvía directamente al sitio legítimo para completar el inicio de sesión y se apodera de la cookie de sesión emitida. TOTP y SMS OTP son impotentes ante este ataque.

La autenticación basada en FIDO2 incorpora criptográficamente la información del origen (dominio) en la firma, por lo que nunca se genera una firma destinada al sitio legítimo en el dominio del proxy del atacante. Esto hace que los ataques AiTM sean estructuralmente imposibles. En los fundamentos de la autenticación de dos factores se explican en detalle las diferencias entre cada método.

Resistencia a los ataques de fatiga de MFA

Un ataque de fatiga de MFA (MFA Fatigue Attack / MFA Bombing) es una técnica en la que el atacante intenta iniciar sesión repetidamente con una contraseña robada e inunda al usuario con notificaciones push, esperando que este pulse «Aprobar» por error. En la brecha de Uber de 2022, el atacante usó esta técnica para obtener acceso a los sistemas internos. La autenticación FIDO2 no usa notificaciones push y requiere una acción activa del usuario (un toque o autenticación biométrica), por lo que los ataques de fatiga no funcionan. En el artículo sobre los ataques de fatiga de MFA se explican en detalle casos reales de ataque y sus contramedidas.

Consideraciones prácticas para la implementación

La implementación de la MFA resistente al phishing puede lograrse técnicamente desplegando claves de acceso y llaves de seguridad, pero la implementación en toda la organización requiere un enfoque por fases. Un camino realista es empezar por las cuentas privilegiadas (administradores y directivos) y luego ampliarla al resto del personal. Al migrar desde un entorno existente de autenticación multifactor, en lugar de retirar TOTP de inmediato, conviene establecer FIDO2 como método preferido y mantener TOTP como respaldo durante un periodo de operación en paralelo.libros sobre seguridad de MFA (Amazon) también son una referencia útil para tu plan de implementación.

Casos de uso reales

«Siguiendo las directrices de CISA, cambiamos todas las cuentas de administrador para que requirieran una YubiKey. Los incidentes relacionados con el phishing, que antes de la migración eran de dos o tres al mes, se han mantenido en cero durante los 18 meses posteriores. Actualmente estamos desplegando claves de acceso para el resto del personal.»

Consulta también la guía de implementación de llaves de seguridad.