Para todas las empresas de todos los sectores, es fundamental abordar la creciente amenaza que suponen los ataques de Adversario en el Medio (AiTM). Si bien varias plataformas de phishing pueden acaparar los titulares, AiTM es la preocupación de la que más se habla actualmente, ya que efectivamente hace que la autenticación multifactor (MFA) sea menos confiable al permitir el robo de tokens y los ataques de repetición. ¿Por qué es esto un problema para las empresas? Los ataques AiTM interceptan tokens de autenticación a través de páginas de phishing bien diseñadas que imitan portales de inicio de sesión legítimos. Una vez que los atacantes capturan estos tokens, pueden usarlos para obtener acceso no autorizado a los sistemas sin necesidad de las credenciales originales o el aviso de MFA. Este método puede comprometer las cuentas protegidas por MFA, creando riesgos importantes para las organizaciones. Para mitigar el impacto de los ataques AiTM, las organizaciones deben implementar un enfoque de múltiples capas: Capacitación para la concientización del usuario El error humano sigue siendo una de las vulnerabilidades más importantes en cualquier estrategia de seguridad. La capacitación regular e integral de concientización del usuario puede capacitar a los empleados para reconocer intentos de phishing, examinar solicitudes de inicio de sesión inusuales e informar actividades sospechosas. Educar a los usuarios sobre los signos de phishing puede reducir drásticamente la tasa de éxito de estos ataques. Soluciones MFA resistentes al phishing Aunque MFA es una defensa crítica, ciertos tipos, como SMS o códigos basados ​​en aplicaciones, pueden explotarse en ataques AiTM. Las organizaciones pueden aumentar drásticamente la protección mediante la transición a opciones de seguridad basadas en hardware, como Yubikeys. Estos dispositivos añaden una capa adicional de ciberseguridad que es difícil de eludir para los atacantes, incluso en el caso de una interceptación de token. Aprovechar las capacidades de respuesta y monitoreo de seguridad Aprovechar al máximo las herramientas de respuesta y monitoreo de seguridad disponibles es crucial, particularmente para detectar actividades sospechosas, como inicios de sesión inesperados o repeticiones de tokens. Aunque Microsoft 365 ofrece monitoreo avanzado, estas características a menudo se incluyen en licencias de nivel superior, lo que significa que será más costoso y será necesario tenerlo en cuenta en su presupuesto. Para obtener ayuda para comprender qué herramientas utilizar y qué se recomienda, hable con su MSP o experto en seguridad cibernética. Para las empresas que operan sin licencias premium, las soluciones de monitoreo o servicios administrados de terceros pueden ofrecer capas adicionales de protección. Bloqueo geográfico y listas de IP permitidas Aunque no es un método infalible, implementar el bloqueo geográfico es eficaz para bloquear bots y puede ayudar a mitigar los intentos iniciales de phishing intentados por los ciberdelincuentes. Al restringir el acceso a regiones y redes conocidas o confiables, las organizaciones pueden agregar una barrera útil que impida que ciertos tipos de tráfico malicioso lleguen a las cuentas de los usuarios. Gestión de la vida útil de los tokens Reducir la vida útil de los tokens de autenticación es otra forma de limitar la ventana de oportunidad para que los atacantes exploten las credenciales robadas. Sin embargo, esto debe equilibrarse con la experiencia del usuario, ya que acortar la validez del token puede generar solicitudes de autenticación más frecuentes, lo que podría frustrar a los usuarios. Las organizaciones deben evaluar la tolerancia al riesgo y el entorno del usuario para encontrar el equilibrio adecuado. Cómo defenderse de esta amenaza cibernética Los ataques AiTM son un método sofisticado para evadir las medidas de seguridad cibernética tradicionales, pero no son insuperables. Las empresas pueden mejorar significativamente su postura de seguridad implementando defensas sólidas de múltiples capas.