Se suponía que la autenticación multifactor (MFA) cerraría una brecha crítica en la seguridad de la identidad. Significaba que, incluso si un atacante poseía las credenciales de la cuenta, no podría iniciar sesión sin el segundo factor. Si bien esa lógica era sólida, los atacantes ahora han descubierto que no necesitan robar el segundo factor: solo necesitan que el usuario se lo entregue.
Si su fuerza laboral se autentica con MFA basada en push, este ataque es una amenaza real para su organización hoy. Herramientas como Acceso seguro a Specops están diseñados específicamente para cerrar esa brecha, pero antes de entrar en la solución, vale la pena entender cómo funciona esta técnica.
Cómo funciona el bombardeo inmediato del MFA
El ataque requiere tres elementos clave para funcionar:
- Credenciales de cuenta válidas, generalmente obtenidas de volcados de contraseñas violadas en la web oscura
- Un portal de inicio de sesión que utiliza MFA basado en push (como una VPN, Microsoft 365, Okta o Duo)
- Una víctima que recibe una alerta cada vez que el atacante intenta iniciar sesión.
Los atacantes activan repetidamente el mensaje, intentando engañar al objetivo o desgastarlo para que apruebe la solicitud. A veces, los atacantes combinan el bombardeo inmediato con un llamada vishing pretendiendo ser de TI, donde intentarán diseñar socialmente al objetivo. El peligro es que estos métodos sólo necesitan funcionar una vez.
Si se aprueba el mensaje, el atacante inicia sesión como ese usuario. Los sistemas de seguridad normalmente no reciben alertas, ya que el inicio de sesión parece completamente legítimo.
La brecha de Cisco
La violación de Cisco de 2022 es un ejemplo clave de cuán efectiva es esta técnica incluso contra programas de seguridad maduros. Un atacante vinculado al grupo de ransomware Yanluowang comprometió la cuenta personal de Google de un empleado de Cisco, que estaba sincronizando las credenciales almacenadas en el navegador, incluida la contraseña VPN de Cisco del empleado.
Desde allí, el atacante envió mensajes de MFA al teléfono del empleado. Inicialmente, eso no funcionó, por lo que comenzaron a utilizar llamadas de vishing haciéndose pasar por organizaciones de soporte confiables, hablando en varios acentos y, finalmente, convenciendo al empleado de que aceptara una notificación automática.
Una vez aceptado, el atacante tenía acceso VPN como empleado. Luego inscribieron sus propios dispositivos en MFA para mantener la persistencia, escalaron a privilegios administrativos, alcanzaron servidores Citrix y controladores de dominio y exfiltraron alrededor de 2,8 GB de datos antes de ser desalojados. El hecho de que un bombardeo rápido haya funcionado en contra de una empresa como Cisco, que está lejos de tener una postura de seguridad débil, pone de relieve cuán peligroso y efectivo se ha vuelto el ataque.
¿Por qué impulsar la MFA no elimina el riesgo?
El problema con MFA basado en push es que a los usuarios se les pide que aprueben o rechacen un inicio de sesión con muy poco para continuar. No hay una indicación clara de dónde se originó la solicitud, qué dispositivo se está utilizando o si el usuario inició el intento de inicio de sesión. De forma aislada, eso podría ser manejable. Pero cuando las indicaciones comienzan a llegar repetidamente, es fácil asumir que algo está fallando en lugar de reconocerlo como un ataque potencial.
Si esto se combina con una llamada telefónica oportuna de alguien que se hace pasar por soporte de TI, la situación se vuelve aún más difícil de evaluar. En ese punto, el usuario no actúa descuidadamente, sino que responde a un escenario diseñado para parecer rutinario y legítimo, utilizando las credenciales que el atacante ya tiene.
Tres formas en que las organizaciones pueden evitar bombardeos rápidos
1. Utilice factores MFA resistentes a la fatiga y al phishing
Las notificaciones push son la forma común más débil de MFA. Resistente al phishing Es más difícil abusar de factores como las claves de seguridad FIDO2, tokens de hardware como YubiKey o códigos de coincidencia de números de aplicaciones de autenticación.
Acceso seguro a Specops admite más de 15 proveedores de identidad e incluye estas opciones resistentes a la fatiga para el inicio de sesión de Windows, RDP y conexiones VPN, para que las organizaciones puedan retirar MFA de solo inserción para puntos de acceso de alto riesgo.
 |
| Acceso seguro a Specops |
2. Bloquee las contraseñas comprometidas en la fuente
El bombardeo rápido sólo es posible cuando el atacante ya tiene una contraseña válida. Escanear Active Directory (AD) continuamente contra una base de datos activa de contraseñas violadas y forzar un reinicio cuando aparece una coincidencia elimina el combustible para el ataque. Confiar en las políticas de contraseñas predeterminadas de AD no detectará contraseñas reutilizadas, incrementales o violadas. Si no sabes dónde te encuentras hoy, Auditor de contraseñas de Specops es un análisis gratuito de solo lectura de su AD que detecta vulnerabilidades como contraseñas comprometidas o cuentas de administrador inactivas.
 |
| Auditor de contraseñas de Specops |
3. Agregue señales de riesgo al inicio de sesión.
Las políticas de acceso condicional que tienen en cuenta la geografía, la posición del dispositivo y los tiempos de inicio de sesión pueden bloquear o intensificar la autenticación antes de que se envíe un mensaje al teléfono del usuario. Esto reduce la dependencia únicamente del comportamiento del usuario e introduce un contexto en tiempo real para detener los inicios de sesión sospechosos antes de que se conviertan en un compromiso exitoso de la cuenta.
El MFA sigue siendo importante
El rápido bombardeo del MFA no es una razón para alejarse del MFA, pero sí resalta dónde algunos factores fallan. Cuando las solicitudes de aprobación pueden activarse repetidamente sin un contexto significativo, resulta más fácil influir en el control de lo previsto.
Si el impulso sigue siendo su segundo factor predeterminado, vale la pena reconsiderar esa decisión. Los métodos de coincidencia de números o resistentes al phishing fortalecen el método MFA en sí, mientras que el escaneo en busca de contraseñas comprometidas limita el riesgo de que los atacantes posean el primer paso de autenticación. Si está buscando evolucionar la seguridad de su identidad con una MFA más sólida, hablar con especops.
