Vector de ataque: Hackeo al MFA

Tras décadas de ataques exitosos a los sistemas y equipos protegidos por una autenticación de un solo factor, la estrategia de un factor múltiple de autenticación se ha vuelto la nueva norma en las organizaciones e incluso en algunos aspectos de la vida cotidiana.

Implementar la autenticación multifactor significa un nivel adicional de seguridad que ha probado ser suficiente para prevenir los ataques técnicos comunes de robo de sesión y suplantación de identidad. Sin embargo, no es completamente cierto que los ataques a los mecanismos de un solo factor no pueden afectar a aquellos con un factor múltiple.

Las metodologías de ataque se pueden clasificar en tres categorías: ingeniería social, ataques técnicos y ataques mixtos que consisten en el uso de tanto ingeniería social como aspectos técnicos. A continuación se presentan algunas maneras en las que se puede evadir y potencialmente vulnerar la autenticación multifactor:

Ataques de Ingeniería Social

Falsificación de Autenticación

Para esta técnica, el atacante debe crear un sitio web falso para engañar al usuario mediante un correo phishing u otro tipo de engaño que lo haga ingresar a dicho sitio. Ya dentro, el usuario procede a ‘iniciar sesión’ y en algunos casos, ingresa un segundo factor de autenticación; dándole esta información al atacante. Una vez terminado este proceso, el sitio web puede actuar como si se hubiera producido un error y redirigir al usuario a un sitio legítimo. De esta manera el usuario no se da cuenta de que acaban de robarle sus credenciales y el atacante puede iniciar sesión con todo y multifactor de autenticación.

Ataques a Preguntas de Recuperación

Otra técnica común de ingeniería social consiste en acercarse al objetivo antes de realizar el ataque. La meta del atacante es conseguir la información de respuesta a las preguntas de recuperación de cuenta, por ejemplo, de correo electrónico.

Una vez que el atacante recopila información personal de su objetivo, prosigue a realizar el proceso de recuperación de cuenta a través de las preguntas de recuperación, consiguiendo acceso sin necesitar ingresar un segundo factor de autenticación. El problema es que hoy en día, es fácil obtener las respuestas pues las preguntas son muy sencillas. Una manera de contrarrestar este ataque es utilizar respuestas no relacionadas a las preguntas, o disfrazarlas con caracteres extraños como suele recomendarse para una contraseña.

Ataque al Soporte Técnico

El soporte técnico de una empresa suele tener acceso a las cuentas de usuario y a sus ajustes. Esto los convierte en un objetivo para los atacantes, pues pueden modificar o deshabilitar la autenticación de factor múltiple.

Para realizar este ataque, el malhechor usa una técnica que consiste de aprovecharse de aquellos trabajando en soporte técnico creando una situación ficticia como una urgencia para acceder a una cuenta para poder realizar una tarea crítica. La intención de ayudar junto con el estrés de la situación suele poner bajo mucha presión al empleado de soporte técnico, quien puede terminar dando acceso a un atacante a la cuenta de un usuario legítimo.

Ataques Técnicos

Predicción de Identificador Único de Sesión

Cada vez que un usuario inicia sesión y utiliza MFA, este recibe un identificador único de sesión que le indica a los sitios web que se trata de dicho usuario. En este ataque, los ciberdelincuentes pueden trabajar en conjunto para acelerar el proceso.

Los atacantes buscan sitios web para robarse sesiones de múltiples usuarios legítimos a la vez para buscar patrones y similitudes en los identificadores de sesión. Una vez que se encuentran estos patrones y similitudes, los atacantes pueden probar distintos identificadores para ver cual les da acceso a la sesión de un usuario específico, evadiendo la seguridad de un multifactor de autenticación.

Ataques de “Man-in-the-Endpoint”

Estos ataques consisten de un equipo vulnerado que se utiliza como si fuera legítimo. El atacante puede utilizar un sinfín de métodos para obtener acceso al equipo y privilegios de administrador. De esta manera, si las cuentas de usuario se encuentran guardadas en el equipo, el atacante puede iniciar sesión simulando ser el usuario comprometido evitándose la tarea de conseguir la información de multifactor.

Modificaciones Maliciosas a software y hardware de MFA

·        Software

Los atacantes pueden modificar el software de MFA para que se debilite o incluso se deshabilite por completo la protección que brinda. Una forma de ataque consiste en vulnerar un nodo de red para robar las llaves privadas de encriptación, permitiendo la lectura del contenido cifrado de los usuarios dentro de dicho nodo.

·        Hardware

De igual manera, los atacantes pueden modificar el hardware para debilitar o deshabilitar la protección brindada. Los dispositivos que leen un factor biométrico, por ejemplo, pueden ser vulnerados para aceptar los biométricos del atacante como si se tratara de un usuario legítimo. De esta manera, el atacante no tiene por qué preocuparse de ser detectado pues el sistema registra la autenticación de dicho usuario.

Generadores de duplicados de códigos

Uno de los usos más populares de MFA son los generadores de códigos que consisten de una cadena de caracteres aleatorios y que cambian constantemente en un intervalo dado de tiempo, generalmente de 30 segundos a 5 minutos. Para que estos generadores funcionen, utilizan una llave privada llamada “semilla” que es única para cada usuario. Sin embargo, a diferencia del código en sí, la semilla puede ser accedida por cualquiera con acceso a la base de datos empresarial.

Si un atacante consigue acceso a la base de datos, puede aprovechar la información de los usuarios para crear su propio generador de códigos aleatorios; el cual generará códigos válidos para el usuario del cual utilice la semilla.

Skimming

El skimming es una técnica en la que los atacantes utilizan un dispositivo especial para obtener información de tarjetas tanto bancarias como de acceso. Este ataque se puede llevar a cabo de diferentes maneras como, por ejemplo, instalar el dispositivo en un cajero automático. Este dispositivo es idéntico al panel del cajero seleccionado, y puede recolectar la información de la tarjeta (primer factor) y el PIN (segundo factor) al momento de ser ingresados en el cajero.

Ataque de fuerza bruta

Muchas de las herramientas de MFA utilizan el factor “algo que sabes” (contraseñas, PINs, etc.) para implementar un segundo o tercer factor de autenticación. En esto casos, los atacantes pueden utilizar herramientas de fuera bruta para romper el multiple factor de autenticación.

Ataques Mixtos

Robo de sesión

Esta técnica consiste en el robo de la sesión de un usuario tras el proceso de autenticación. Una vez que el usuario inicia sesión, el atacante busca la manera de obtener acceso a ella y puede decidir si impedir que el usuario siga teniendo acceso a la sesión, o no.

Generalmente se roba el token de acceso del usuario pero también se puede obtener acceso a la sesión mediante un correo phishing o alguna otra manera. Independientemente del método de robo, el atacante puede hacerse pasar por el usuario legítimo por el tiempo que desee, siempre y cuando se mantenga la sesión abierta.

Ataques de ‘recuperación de cuenta’

En este ataque, se tienen como objetivos los sistemas de MFA sin optimizaciones de seguridad actualizadas. Los atacantes pueden intentar ingresara a una cuenta hasta que reciban el mensaje de que se enviará un código a una cuenta de correo de recuperación. Generalmente los atacantes ya tienen acceso a dicha cuenta por lo que recibirán el código y podrán tener acceso a varias cuentas del mismo usuario, así como desactivar la autenticación de multifactor si así lo desean.

Estas solo son algunas de las técnicas que un atacante puede utilizar. El MFA se puede romper, a veces con la misma facilidad que la autenticación de factor único. MFA es una buena herramienta para aumentar la seguridad, sin embargo no debería ser la única barrera en las organizaciones. Se ha observado que a pesar de incluir MFA, las empresas siguen siendo hackeadas, ya sea mediante ingeniería social o falta de concientización sobre seguridad.

Como cualquier otra medida de seguridad, el MFA no es irrompible, pero utilizado en conjunto con las diferentes medidas y prácticas de seguridad, las organizaciones tendrán una menor probabilidad de perder su valiosa información.

Es de vital importancia mantenerse al tanto de las técnicas que se emplean en los ciberataques, ya que así como las tecnologías evolucionan, los ataques también. En Protectia contamos con soluciones, tecnología y asesoramiento para la implementación y gestión de proyectos para ayudar a tu empresa a estar segura y saber responder ante las amenazas.