La implementación de la autenticación multifactor (MFA) es una estrategia excelente para fortalecer la seguridad de sus cuentas en línea, pero los ataques de phishing sofisticados pueden eludir la MFA. Por lo tanto, considere adoptar un método MFA fuerte y resistente al phishing para luchar contra las campañas de phishing modernas.
¿Cómo es la MFA tradicional susceptible a los ataques de phishing? ¿Qué es una solución MFA resistente al phishing y cómo puede prevenir los ataques de phishing?
¿Qué es la autenticación multifactor?
Como sugiere el término, la autenticación multifactor requiere que presente dos o más factores de verificación para acceder a sus cuentas.
Un factor en un proceso de autenticación es un medio para verificar su identidad cuando intenta iniciar sesión.
Los factores más comunes son:
- Algo que sabes: una contraseña o un PIN que recuerdes
- Algo que tienes: una llave USB segura o un teléfono inteligente que tenga
- algo que eres: tu reconocimiento facial o huella dactilar
La autenticación multifactor agrega capas adicionales de seguridad a sus cuentas. Es como agregar un segundo o tercer candado a tu casillero.
En un proceso típico de autenticación de múltiples factores, primero ingresará su contraseña o PIN. Luego, puede recibir el segundo factor en su teléfono inteligente. Este segundo factor puede ser un SMS o una notificación en una aplicación de autenticación. Dependiendo de su configuración de MFA, es posible que deba verificar su identidad a través de datos biométricos.
Hay muchas razones para usar la autenticación multifactor, pero ¿puede resistir el phishing por completo?
Desafortunadamente, la respuesta es no."
Amenazas cibernéticas a la autenticación multifactor
Aunque los métodos MFA son más seguros que los métodos de autenticación de un solo factor, los actores de amenazas pueden explotarlos utilizando varias técnicas.
Aquí hay formas en que los piratas informáticos pueden eludir MFA.
Ataques de fuerza bruta
Si los piratas informáticos tienen sus credenciales de inicio de sesión y ha configurado un PIN de 4 dígitos para usar como segundo factor, pueden llevar a cabo ataques de fuerza bruta para adivinar el pin de seguridad con el fin de eludir multifactor autenticación.
Hackeo de SIM
En estos días, los actores de amenazas utilizan técnicas como el intercambio de SIM, la clonación de SIM y la toma de SIM para hackear tu tarjeta SIM. Y una vez que tienen control sobre su SIM, pueden interceptar fácilmente el segundo factor basado en sms, comprometiendo su mecanismo MFA.
Ataques de fatiga MFA
en un Ataque de fatiga MFA, un hacker te bombardea con un aluvión de notificaciones automáticas hasta que te rindes. Una vez que aprueba la solicitud de inicio de sesión, el hacker puede acceder a su cuenta.
Adversario en los ataques medios
Los piratas informáticos pueden usar marcos AiTM como Evilginx para interceptar tanto las credenciales de inicio de sesión como el token del segundo factor. Luego pueden iniciar sesión en su cuenta y hacer cualquier cosa desagradable que les apetezca.
Ataques Pass-the-Cookie
Una vez que completa el proceso de autenticación de múltiples factores, se crea una cookie del navegador y se guarda para su sesión. Los piratas informáticos pueden extraer esta cookie y usarla para iniciar una sesión en otro navegador en un sistema diferente.
Suplantación de identidad
Phishing, uno de los más tácticas comunes de ingeniería social, a menudo se emplea para acceder al segundo factor cuando el actor de amenazas ya tiene su nombre de usuario y contraseña.
Por ejemplo, utiliza un proveedor de software como servicio (SaaS) y sus credenciales de inicio de sesión se ven comprometidas. Un pirata informático lo llamará (o le enviará un correo electrónico) haciéndose pasar por su proveedor de SaaS para solicitar el segundo factor de verificación. Una vez que comparte el código de verificación, el hacker puede acceder a su cuenta. Y pueden robar o cifrar datos que le afectan a usted y a su proveedor.
En estos días, los hackers emplean técnicas avanzadas de phishing. Así que tenga cuidado con los ataques de phishing.
¿Qué es MFA resistente al phishing?
La MFA resistente al phishing no es susceptible a todo tipo de ingeniería social, incluidos los ataques de phishing, los ataques de relleno de credenciales, los ataques de Man-in-the-Middle y más.
Como los humanos están en el centro de los ataques de ingeniería social, MFA resistente al phishing elimina el elemento humano del proceso de autenticación.
Para que se considere un mecanismo MFA resistente al phishing, el autenticador debe estar vinculado criptográficamente al dominio. Y debería reconocer un dominio falso creado por un hacker.
A continuación se muestra cómo funciona la tecnología MFA resistente al phishing.
Crear enlace fuerte
Además de registrar su autenticador, completará un registro criptográfico, incluida la prueba de identidad, para crear un vínculo fuerte entre su autenticador y la identidad proveedor (IDP). Esto permitirá que su autenticador identifique sitios web falsos.
Hacer uso de la criptografía asimétrica
Una unión sólida de dos partes basada en criptografía asimétrica (criptografía de clave pública) elimina la necesidad de compartir secretos como contraseñas.
Para iniciar sesiones se requerirán ambas claves (claves públicas y claves privadas). Los piratas informáticos no pueden autenticarse para iniciar sesión, ya que las claves privadas se almacenarán de forma segura en las claves de seguridad del hardware.
Responder solo a solicitudes de autenticación válidas
MFA resistente al phishing responde solo a solicitudes válidas. Se frustrarán todos los intentos de hacerse pasar por solicitudes legítimas.
Verificar intención
La autenticación MFA resistente al phishing debe validar la intención del usuario pidiéndole que realice una acción que indique la participación activa del usuario para autenticar la solicitud de inicio de sesión.
Por qué debería implementar MFA resistente al phishing
La adopción de MFA resistente al phishing ofrece múltiples beneficios. Elimina el elemento humano de la ecuación. Como el sistema puede detectar automáticamente un sitio web falso o una solicitud de autenticación no autorizada, puede evitar todo tipo de ataques de phishing destinados a engañar a los usuarios para que proporcionen sus credenciales de inicio de sesión. En consecuencia, la MFA resistente al phishing puede evitar violaciones de datos en su empresa.
Además, un buen MFA resistente al phishing, como el último método de autenticación FIDO2, mejora la experiencia del usuario. Esto se debe a que puede usar datos biométricos o claves de seguridad fáciles de implementar para acceder a sus cuentas.
Por último, pero no menos importante, MFA resistente al phishing aumenta la seguridad de sus cuentas y dispositivos, mejorando así pastizal de ciberseguridad en tu compañía.
La Oficina de Administración y Presupuesto de los Estados Unidos (OMB, por sus siglas en inglés) emitió el Documento de estrategia federal de confianza cero, que requiere que las agencias federales usen solo MFA resistente al phishing para fines de 2024.
Entonces puede comprender que MFA resistente al phishing es fundamental para la ciberseguridad.
Cómo implementar MFA resistente al phishing
De acuerdo con la Informe sobre el estado de la identidad segura preparado por el equipo Auth0 de Okta, los ataques de derivación de MFA están en aumento.
Dado que el phishing es el principal vector de ataque en los ataques basados en la identidad, implementar una autenticación multifactor resistente al phishing puede ayudarlo a proteger sus cuentas.
La autenticación FIDO2/WebAuthn es un método de autenticación resistente al phishing ampliamente utilizado. Le permite usar dispositivos comunes para autenticarse en entornos móviles y de escritorio.
La autenticación FIDO2 ofrece una seguridad sólida a través de credenciales de inicio de sesión criptográficas únicas para cada sitio web. Y las credenciales de inicio de sesión nunca abandonan su dispositivo.
Además, puede utilizar las funciones integradas de su dispositivo, como un lector de huellas dactilares, para desbloquear las credenciales de inicio de sesión criptográficas.
Puede ver productos FIDO2 para seleccionar el producto adecuado para implementar MFA resistente al phishing.
Otra forma de implementar MFA resistente al phishing es usar soluciones basadas en infraestructura de clave pública (PKI). Las tarjetas inteligentes PIV, las tarjetas de crédito y los pasaportes electrónicos utilizan esta tecnología basada en PKI.
MFA resistente al phishing es el futuro
Los ataques de phishing están aumentando, y la implementación de métodos tradicionales de autenticación multifactor no ofrece protección contra campañas de phishing sofisticadas. Así que implemente MFA resistente al phishing para evitar que los piratas informáticos se apoderen de sus cuentas.
