Todo lo que debes saber sobre los ataques de fatiga de MFA

Todo lo que debes saber sobre los ataques de fatiga de MFA

¿Prefieres un resumen de este blog? ¡Da click en el botón de abajo y deja que ChatGPT te lo cuente! (también puedes probar con Perplexity)

No es un secreto que hoy en día la autenticación multifactor o mejor conocida como MFA, es una de las defensas más efectivas para resguardar el acceso a nuestras cuentas y datos confidenciales. Sin embargo, los atacantes no se rinden tan fácil.

¿Has escuchado sobre qué son los ataques de fatiga de MFA? Si la respuesta es no, este blog es para ti. Te contamos sobre esta técnica de ingeniera social que está poniendo en riesgo la seguridad empresarial. No dejes que te tome por sorpresa: sigue leyendo y descubre todo lo que necesitas saber sobre estos ataques.

Empecemos por lo básico, ¿qué es la MFA (autenticación multifactor)?

La MFA es un método de verificación de identidad que necesita al menos dos factores diferentes. Por ejemplo, puede ser una contraseña de acceso en línea y una huella digital o algún otro tipo de dato biométrico. Este método brinda capas extra de protección más allá de lo que ofrece el contar solo con una contraseña.

Su propósito es aportar mayor seguridad a la hora de iniciar sesión en cualquier cuenta, ya sea personal o empresarial, para cuidar de los datos confidenciales. De esta forma, la MFA se ha vuelto una pieza fundamental en las estrategias de la gestión de identidades y accesos (IAM) desarrolladas por las empresas.

Hablemos sobre un caso del día a día. Para iniciar sesión en tu cuenta de correo electrónico, usualmente necesitas ingresar tu contraseña básica (primer factor) y luego, te solicita un código de acceso de un único uso que el proveedor de correo electrónico envía a tu celular por medio de un mensaje de texto (segundo factor).

Contenido relacionado: ¿Por qué la 2FA ya no es suficiente?

De esta forma, el usuario puede acceder al correo exclusivamente si se verifican todos los datos solicitados. Si alguno de estos factores no se autentica correctamente, el intento de inicio de sesión no será exitoso.

Tipos de factores de autenticación

Como mencionamos anteriormente, el uso de distintos tipos de factores es mucho más seguro que el uso de múltiples factores del mismo tipo. Esto se debe a que los ciberdelincuentes tendrían que usar diferentes métodos en distintos canales para vulnerar cada uno de ellos.

Entre los tipos de factores de autenticación más conocidos están:

- Factores de conocimiento: son algo que el usuario conoce. Por ejemplo, las contraseñas, un PIN y respuestas a las preguntas de seguridad.

- Factores de posesión: es algo que el usuario tiene. Esto incluye los tokens de software digital y hardware físico.

- Factores inherentes: o también llamados datos biométricos. Son los rasgos inherentes de cada ser humano como las huellas dactilares o características faciales.

- Factores de comportamiento: es algo que hace el usuario. Estos factores son artefactos digitales que verifican la identidad del usuario con base en patrones de comportamiento como el rango de direcciones IP, la ubicación o la velocidad de escritura.

Al combinar distintos factores de autenticación, le estás brindando esa capa extra de seguridad que tus cuentas necesitan.

Entonces… ¿qué son los ataques de fatiga de MFA?

Ahora sí, entremos en materia. Un ataque de fatiga de MFA es un ciberataque de ingeniería social en el que el atacante bombardea a la víctima con solicitudes de MFA por medio del correo electrónico, teléfono u otros dispositivos que han sido previamente registrados.

El punto de esta táctica es que el usuario se canse y finalmente apruebe estas notificaciones, validando así el acceso del ciberdelincuente. Esto, puede poner en riesgo la seguridad de los datos confidenciales al darle vía libre al atacante.

Pero… ¿cómo funcionan estos ataques?

Veamos un poco más a detalle cómo los ciberdelincuentes llevan a cabo los ataques de fatiga de MFA. Primero, el atacante obtiene las credenciales de acceso de la víctima, generalmente mediante phishing, un ataque de robo de credenciales o adquiriéndolas en la dark web.

Una vez obtienen las credenciales de inicio de sesión de la víctima, intentan ingresar a la cuenta o al dispositivo. Aquí es donde entra en juego la MFA. Si la cuenta tiene la MFA activada, se le solicitará al usuario el código de autenticación de dos factores.

En este punto, el atacante activa repetidamente las solicitudes de MFA para que lleguen al dispositivo de la víctima en cualquier momento del día, lo que genera notificaciones constantes en el teléfono. Esto con la intención de saturar y confundir al usuario.  

Luego, el ciberatacante emplea tácticas de ingeniera social, como mensajes alarmistas, de urgencia o advertencias de bloqueo para presionar a la víctima a que apruebe las notificaciones sin antes verificarlas.

Aquí, las personas suelen ceder ante la insistencia y aprueban las notificaciones. De esta forma el atacante obtiene el acceso a la cuenta y logra robar datos, realizar fraudes o instalar malware en el dispositivo de la víctima.

Contenido relacionado: Ransomware BlackSuit, ¿la batalla final?

¡Y listo! Así de fácil tienen tus datos confidenciales. Así que ya lo sabes, la próxima vez que te lleguen miles de mensajes para que otorgues acceso para ingresar a tu correo, probablemente se trate de un ataque de fatiga de MFA.

Conoce nuestra guía para proteger a tu organización de los ataques de fatiga de MFA

Bien sabemos que debido al cambio del trabajo presencial al remoto o hibrido, la seguridad de la autenticación se ha complicado y ha puesto bajo el reflector los inconvenientes de los métodos de autenticación tradicionales como las contraseñas.

Como hemos mencionado anteriormente, los ciberdelincuentes que ejecutan los ataques de fatiga de MFA, se encargan de enviar intencionalmente múltiples notificaciones a los dispositivos móviles de los usuarios con el fin de saturarlos hasta que ceden y así evadir la protección que brinda la autenticación multifactor.

En este punto, los atacantes ya tienen el camino libre para robar la información confidencial empresarial y así crear estragos internos en las organizaciones. De esta forma, el informe sobre el estado de seguridad sin contraseñas del 2023, muestra que cerca del 30% de las compañías se vieron afectadas por este tipo de ataque, duplicando las cifras del 2022.

Tranquilo, desde ManageEngine queremos cuidar de tu seguridad. Es por esto que en nuestra guía para proteger a tu organización de los ataques de fatiga de MFA, encontrarás distintos insights para que no caigas en esta desagradable situación.

En nuestro ebook gratuito te contamos:

- Qué es y cómo funciona la MFA.

- Recientes ataques de fatiga de MFA.

- Que puedes hacer en tu organización para fortalecer tu MFA.

- Cómo las soluciones de seguridad de identidades y accesos de ManageEngine combaten este tipo de ataques.

En conclusión, la autenticación multifactor es una pieza clave en la defensa contra los ciberdelincuentes, pero no es invulnerable. Ya vimos que los ataques de fatiga de MFA son una prueba latente de ello.

La buena noticia es que existen distintas estrategias y soluciones para estar un paso adelante de los atacantes. Desde ManageEngine LATAM te lo ponemos fácil. Al descargar nuestro guía gratuita te daremos las herramientas para blindar a tu empresa y proteger lo que más te importa: la información.

Así que no esperes más, da el salto y empieza a proteger tu organización hoy. Psst… aquí te dejamos tu copia. ¡Hasta pronto!