Los hackers suelen inclinarse por los ataques de ingeniería social para conseguir acceso a las credenciales corporativas y violar grandes redes. Sin embargo, eso está por quedarse atrás ya que ahora tienen una nueva táctica favorita. Y esta lleva como nombre MFA Fatigue, y se está volviendo popular gracias al auge de la autenticación de múltiples factores. Sumado a ello, esta técnica no requiere de malware ni infraestructura de phishing y se ha demostrado que tiene éxito en los ataques.

¿Qué es la MFA Fatigue?

Un ataque de MFA Fatigue ocurre cuando un pirata informático ejecuta una secuencia de comandos que intentan iniciar sesión con credenciales robadas una y otra vez. Ello provoca que se envíe lo que parece un flujo interminable de solicitudes de inserción de MFA al dispositivo móvil del propietario de la cuenta.

Entonces, ¿cuál es el objetivo del ataque? Pues mantener esto, día y noche, para romper la postura de seguridad cibernética del objetivo. Y así infligir una sensación de «fatiga» con respecto a estas indicaciones de MFA.

En muchos casos, los hackers enviarán notificaciones de MFA repetidas y luego se comunicarán con el objetivo a través de correo electrónico, plataformas de mensajería o por teléfono. Fingiendo, de este modo, ser soporte de TI para convencer al usuario de que acepte el mensaje de MFA.

En última instancia, los objetivos se sienten tan abrumados que accidentalmente hacen clic en el botón «Aprobar» o simplemente aceptan la solicitud de MFA para finalizar el flujo interminable de notificaciones que estaban recibiendo en su teléfono.

Este tipo de técnica de ingeniería social ha demostrado ser muy exitosa por parte de los actores de amenazas Lapsus$ y Yanluowang cuando violan organizaciones grandes y conocidas, tales como Microsoft, Cisco y ahora Uber.

MFA Push
Vía Microsoft

¿Qué hacer si un día eres víctima de la técnica de MFA Fatigue?

  • No entres en pánico. No apruebas la solicitud de MFA y no hables con personas desconocidas que afirman ser de tu organización.
  • Comunícate con los administradores de TI conocidos de tu empresa, su departamento de TI o sus supervisores. Explícales que crees que tu cuenta ha sido comprometida y está bajo ataque.
  • Cambia la contraseña de tu cuenta para evitar que el pirata informático continúe iniciando sesión y genere más notificaciones automáticas de MFA.
  • Una vez que cambies tu contraseña, el hacker ya no podrá emitir spam de MFA, esto te dará a ti y a tus administradores espacio para investigar.
  • Algunos profesionales de seguridad recomiendan deshabilitar las notificaciones MFA Push o habilitar la coincidencia de números para aumentar la seguridad.
  • Limita la cantidad de solicitudes de autenticación MFA por usuario (Microsoft, DUO y Okta). Y, cuando se sobrepasen esos límites, bloquea las cuentas o genera alertas al administrador del dominio.

¿Te sorprende la nueva táctica MFA Fatigue? ¿Tomarás en cuenta estos consejos o se los remitirás a alguien ante un problema similar? ¡Cuéntanos!

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *