Un fallo de diseño que afecta a Microsoft Authenticator está impidiendo que los usuarios accedan a sus cuentas protegidas por MFA, lo que provoca un caos mientras el personal pasa horas solucionando el problema con los servicios de asistencia de TI. El problema se produce cuando los usuarios intentan añadir una nueva cuenta escaneando un código QR, que ahora es la forma más popular de añadir una cuenta rápidamente, pero al utilizar este método, el autenticador sobrescribirá cualquier cuenta con el mismo nombre de usuario que la nueva entrada. Esto se debe a la forma particular en que Microsoft ha configurado su servicio de autenticación, que solo utiliza el nombre de usuario para diferenciar las cuentas, a diferencia de Google y sistemas similares de la competencia que también añaden el nombre del emisor a la cuenta. Este no es de ninguna manera un problema nuevo. Los usuarios se han estado quejando del problema en los canales de soporte de Microsoft desde 2020, y parece que el problema ha sido persistente desde que se lanzó el autenticador en 2016. La semana pasada, Brett Randall, fundador y consultor principal de Fractl, recurrió a LinkedIn para quejarse del problema, arrojando luz sobre el problema una vez más. Randall dijo que investigó el problema después de observar que el autenticador sobrescribía la clave TOTP de otra aplicación al usar el código QR para escanear en busca de MFA en una sesión de capacitación con un proveedor. Pero después de informar el problema a Microsoft, Randall informó que le dijeron que el error era «intencionado», afirmando que intentar que la empresa reconozca el problema y haga algo al respecto ha sido «casi imposible». Reciba nuestras últimas noticias, actualizaciones de la industria, recursos destacados y más. Regístrese hoy para recibir nuestro informe GRATUITO sobre ciberdelito y seguridad con IA, recientemente actualizado para 2024. «Ver una sala llena de personas perder el acceso a otros sistemas a medida que escaneaban gradualmente un código QR y Microsoft Authenticator sobrescribía sus claves en otros sistemas fue doloroso». Esto crea más confusión, ya que las organizaciones a menudo atribuyen erróneamente quién es responsable del problema y se ponen en contacto con la empresa que emite la autenticación, perdiendo horas con su servicio de asistencia técnica tratando de solucionar un problema que no tiene nada que ver con la empresa. El problema de Microsoft Authenticator se puede solucionarSin embargo, existen soluciones alternativas, como señaló un usuario que publicó en Microsoft Learn en 2022. La solución alternativa implica ingresar manualmente la clave secreta del proveedor de identidad en la aplicación Authenticator durante la configuración. Pero señalaron que esta no es una solución particularmente práctica cuando se trata de grandes empresas. «Desafortunadamente, esto no es muy útil en un entorno empresarial, especialmente cuando el usuario final promedio rara vez sabe algo sobre el funcionamiento interno de la autenticación, y ver una cadena aleatoria de caracteres es intimidante». A medida que la autenticación multifactor (MFA) se convierte en la capa de protección predeterminada en la mayoría de las cuentas de usuario, existe una dependencia cada vez mayor de estos sistemas para acceder a los sistemas digitales. Como tal, estas herramientas deben ser lo más sólidas posible o corren el riesgo de bloquear a millones de usuarios de sus cuentas. Glenn Chishold, director de productos de Obsidian, dijo que debido a que la mayoría de las organizaciones reconocen la importancia de usar MFA para proteger sus cuentas, los proveedores deben asegurarse de que sus soluciones sean lo suficientemente confiables como para soportar una mayor presión sobre ellas. «Sabemos que MFA es crucial para protegerse contra formas básicas de compromiso. «Aun así, vemos brechas importantes que utilizan cuentas que solo tienen habilitada la autenticación básica (como la brecha que afectó a la instancia Snowflake de AT&T)», explicó. «Dado que la gran mayoría de los usuarios optan por utilizar su dispositivo móvil para la autenticación multifactor, los proveedores tienen la obligación de garantizar que estas tecnologías sean fáciles de adoptar y difíciles de eludir». Chisholm agregó que los profesionales de seguridad deben tener cuidado de que, a medida que los usuarios inundan los canales de soporte de TI tratando de solucionar el problema, se conviertan en objetivos principales para los ataques de ingeniería social que buscan ganar un punto de apoyo en la red. «Desafortunadamente, en este caso, el ‘comportamiento esperado’ de la aplicación de autenticación de Microsoft puede provocar la sobrescritura de cuentas existentes. Eso podría significar que las empresas necesitan ayudar a sus usuarios a restablecer el acceso a sus cuentas», dijo. «Los equipos de seguridad deben ser conscientes de que esto también podría brindar una oportunidad para que los atacantes utilicen ingeniería social para convencer a los usuarios del servicio de asistencia técnica de que concedan acceso no autorizado a las cuentas de los usuarios, como vimos en la brecha de seguridad bien documentada de MGM».