La búsqueda de una solución infalible dentro del cambiante panorama de ciberamenazas es una quimera. La ciberseguridad no va de construir una única muralla infranqueable, sino de hacer cada paso más difícil para los atacantes. Es convertir la defensa en un laberinto, donde cada capa de seguridad obstaculiza y retrasa al adversario, dando tiempo para reaccionar y proteger los activos más valiosos.
A lo largo de la última década, la autenticación multifactor (MFA) se ha alzado como un pilar fundamental de la ciberseguridad. La realidad, no obstante, es que a medida que ha mejorado la sofisticación en autenticación de usuarios, también lo han hecho las tácticas de los ciberdelincuentes, como muestra el preocupante aumento de técnicas de elusión de la MFA.
A pesar de la creciente habilidad de los atacantes para sortear las medidas de seguridad más habituales, persiste una peligrosa creencia en la casi perfección de MFA entre los profesionales de la seguridad. Sin embargo, lo cierto es que existe una desconexión entre la percepción y la realidad: casi la mitad de todas las cuentas robadas por atacantes malintencionados tenían configurada el MFA. Sin duda, esta autenticación agrega una capa valiosa de seguridad de autenticación de usuarios, dificultando la entrada de los ciberdelincuentes, pero es muy arriesgado depender de un único mecanismo de defensa.
Índice de temas
Ataques para desarticular la autenticación multifactor (MFA)
El aumento de los ataques que logran eludir las defensas de MFA muestra la variedad y la sofisticación de tácticas empleadas por los ciberdelincuentes: desde ataques de phishing en los que engañan a los usuarios para que ingresen códigos MFA o credenciales en sitios web controlados por ellos mismos; bombardeo de notificaciones hasta que los usuarios, confundidos, aprueben la solicitud de acceso; robo de cookies de sesión después de la autenticación, invalidando el MFA anterior; interceptando tokens de sesión y retransmitiéndolos a servicios legítimos para otorgar acceso a los atacantes; o bien comprometiendo el MFA basada en SMS para transferir el número de teléfono del objetivo al atacante.
Por todo esto, se necesita más que nunca un enfoque robusto de defensa en profundidad mediante una seguridad por capas que ayude a a mitigar la elusión y a reducir la probabilidad de una brecha significativa derivada del robo de cuentas.
Cómo implementar una defensa en profundidad
En una buena estrategia de protección se necesitan múltiples medidas de seguridad superpuestas que reduzcan la capacidad de un atacante para explotar cualquier vulnerabilidad.
Con el objetivo de que las organizaciones fortalezcan sus defensas contra la elusión de MFA , estas tienen que desplegar herramientas de detección y respuesta en los endpoints que identifiquen y minimicen accesos no autorizados a nivel del host; invertir en defensas contra el phishing de credenciales, puesto que es una de las tácticas preferidas de los ciberdelincuentes; adoptar método de autenticación resistentes al phishing, como claves de seguridad de hardware (FIDO2) o biometría; obtener sistemas especializados de seguridad contra la toma de control de cuentas; capacitar a los usuarios para reconocer intentos de phishing y otras tácticas de ingeniería social que tengan en el punto de mira a sus credenciales de MFA ; y asegurarse de tener un plan de respuesta ante incidentes bien definido que revoque rápidamente los tokens de acceso e investigar inicios de sesión sospechosos.
La batalla contra las tácticas de elusión de MFA sirve como un claro ejemplo de la naturaleza dinámica de las ciberamenazas actuales. Invirtiendo en medidas de seguridad completas y proactivas, es posible adelantarse a los ciberdelincuentes, así como salvaguardar los datos y a las personas. La ciberseguridad no es el único remedio, sino un proceso continuo de adaptación y mejora. Es hora de dejar de pensar en murallas y empezar a construir laberintos.
