A medida que las organizaciones digitalizan y gestionan cada vez más diversas contraseñas en varios sistemas y aplicaciones, la gestión de identidades y accesos (IAM) se ha convertido en una piedra angular de la ciberseguridad. Un componente clave de la IAM es la autenticación multifactor (MFA), una medida de seguridad que mejora la seguridad del inicio de sesión al exigir a los usuarios que verifiquen su identidad a través de múltiples factores de autenticación. A diferencia de la autenticación de dos factores (2FA), que utiliza solo dos formas, la MFA puede incorporar varios tipos de autenticación, como algo que tienes (por ejemplo, un dispositivo móvil), algo que sabes (por ejemplo, una contraseña) o algo que eres (por ejemplo, una huella digital). He aquí por qué debería intentar prevenir los ataques de fatiga de MFA: ¿Qué son los ataques de fatiga de MFA? En el panorama actual, la MFA suele considerarse la medida de seguridad mínima que una organización puede implementar y es crucial para un marco de confianza cero. La importancia de la MFA quedó subrayada por una importante vulneración en 2023 en la empresa de intercambio de datos genéticos 23andMe, donde la falta de MFA permitió que tuviera éxito un ataque de robo de credenciales. Las empresas están empezando a utilizar MFA Afortunadamente, la adopción de MFA está en aumento. En 2022, el 58% de las organizaciones involucradas en incidentes de Business Email Compromise (BEC) carecían de MFA. Ese número se redujo al 25% en el primer trimestre de 2024. Sin embargo, aunque la MFA es esencial, podría ser mejor. Los ataques de fatiga de MFA son cada vez más comunes, especialmente a medida que aumenta el volumen de credenciales robadas y los atacantes utilizan estas credenciales en sus métodos de ataque iniciales. ¿Qué es la fatiga de MFA? La fatiga de MFA, también conocida como «bombardeo rápido», «bombardeo push» o «fatiga de notificación», ocurre cuando un atacante bombardea a una víctima con notificaciones de MFA hasta el punto de abrumarla. Este ataque solo puede ocurrir si el actor de la amenaza ya tiene las credenciales del objetivo, generalmente obtenidas a través de vulneraciones anteriores como phishing, fuerza bruta o pulverización de contraseñas. Los ataques de fatiga de MFA se emplean a menudo durante la fase de acceso inicial de un ataque, particularmente en incidentes de BEC. Sin embargo, se pueden utilizar en cualquier etapa cuando un atacante busca acceder a cuentas o aplicaciones específicas. Estos ataques también son efectivos para el movimiento lateral o la escalada de privilegios dentro de una red. ¿Cómo ocurre un ataque de fatiga de MFA? Un ataque de fatiga de MFA se desarrolla en las siguientes etapas: Adquisición de credenciales: el atacante obtiene las credenciales de inicio de sesión de la víctima a través de ingeniería social, robo o comprándolas en la web oscura. Solicitud de MFA: el atacante ingresa las credenciales robadas en una pantalla de inicio de sesión y envía una solicitud de MFA al dispositivo de la víctima. Bombardeo de notificaciones: si la víctima no aprueba inmediatamente la solicitud, el atacante envía repetidamente solicitudes de MFA, lo que crea «fatiga» en la víctima. Acceso obtenido: una vez que la víctima finalmente aprueba una solicitud para detener las notificaciones, el atacante obtiene acceso a todos los recursos protegidos por MFA. ¿Qué sucede si no puede prevenir un ataque de fatiga de MFA? Un ejemplo notable de un ataque de fatiga de MFA ocurrió en 2022 cuando un hacker adolescente atacó al gigante del transporte Uber. El atacante envió múltiples notificaciones de MFA a un solo usuario y luego lo contactó a través de WhatsApp, haciéndose pasar por TI interna. Al convencer al usuario de que las indicaciones eran legítimas, el atacante obtuvo acceso y escaló el ataque. La combinación de múltiples tácticas de ingeniería social, como smishing y fatiga de MFA, es una estrategia común para generar confianza y manipular objetivos. Cómo prevenir ataques de fatiga de MFA Las organizaciones y las personas pueden tomar varias medidas para prevenir ataques de fatiga de MFA: Limite las notificaciones de MFA: restrinja la cantidad de notificaciones de MFA que reciben los usuarios dentro de un período de tiempo específico. Esto puede prevenir el bombardeo de indicaciones al impedir que el atacante envíe múltiples solicitudes de MFA. Desactive las notificaciones push de MFA: considere reemplazar las simples indicaciones de MFA de «sí» o «no» con métodos de autenticación más complejos. La mayoría de los proveedores de MFA permiten deshabilitar las notificaciones push a favor de métodos de desafío-respuesta o contraseña de un solo uso basada en el tiempo (TOTP). Implemente la autenticación web: agregue un autenticador web a su entorno para el más alto nivel de seguridad de MFA, siempre que sus aplicaciones y dispositivos sean compatibles. Agregue contexto a los inicios de sesión de MFA: mejore la seguridad de MFA incorporando factores adicionales como etiquetas de geolocalización, requisitos de huellas dactilares, límites del historial de sesiones o análisis de comportamiento. Estas medidas pueden reducir la probabilidad de una respuesta automática de «sí» y disminuir la tasa de éxito de los ataques de fatiga de MFA. Incluya la fatiga de MFA en la capacitación de concientización sobre seguridad: asegúrese de que su capacitación de concientización sobre seguridad cubra los ataques de fatiga de MFA. Eduque a los usuarios para que sean cautelosos y denuncien los intentos de acceso de MFA no autorizados. Invierta en soluciones de monitoreo: use una solución de detección y respuesta, como Managed Detection and Response (MDR), para monitorear los sistemas de identidad en busca de actividades de inicio de sesión inusuales, incluidas activaciones repetidas de solicitudes de MFA o comportamiento sospechoso después del inicio de sesión. Fortalezca su marco de IAM: si bien MFA es esencial, no debería ser su única herramienta de seguridad de identidad. Implemente un marco de IAM sólido que incluya principios de confianza cero, políticas de detección y respuesta de identidad (IDR) y tecnologías de monitoreo que cubran las fuentes de identidad para prevenir ataques de credenciales o identidad. Al seguir estos pasos, las organizaciones pueden reducir significativamente su riesgo de ser víctimas de ataques de fatiga de MFA y fortalecer su postura general de ciberseguridad.