La autenticación multifactor (MFA) es una medida de seguridad clave para proteger cuentas, pero los ciberdelincuentes han ideado ingeniosas estrategias para eludirla. Hoy en día, incluso con MFA activado, no estamos completamente protegidos frente a posibles brechas.
¿Por qué y cómo buscan eludir la MFA?
Los ciberdelincuentes intentan acceder a cuentas protegidas por diversos motivos: robar datos personales, cometer fraudes económicos, obtener información confidencial de empresas, o incluso vender el acceso a esas cuentas en el mercado negro. Para lograrlo, diseñan métodos para engañar tanto a la tecnología como al usuario, explotando debilidades y errores humanos.
A continuación, te explicamos las técnicas más utilizadas:
Ataque Man in the Middle: Interceptación de datos
En este tipo de ataque, el ciberdelincuente se posiciona entre el usuario y el sitio de autenticación, interceptando la información enviada, como los códigos MFA. Para lograrlo, crean una página de inicio de sesión falsa que imita a la real. Cuando la víctima introduce sus credenciales, el atacante las captura y las utiliza para acceder al servicio legítimo.
Esto puede suceder, por ejemplo, si te conectas a una red Wi-Fi pública que haya sido alterada de manera maliciosa. Al acceder a un sitio web, podrías ser redirigido a una página falsa que se parece a la original, donde robarán tus contraseñas y códigos de autenticación múltiple.
¿Cómo protegerse? Usa aplicaciones de autenticación en lugar de recibir códigos por SMS, ya que las apps son menos vulnerables a este tipo de ataques. Emplea plataformas que detecten actividad inusual y alerten al usuario. Por ejemplo, puedes usar Google Authenticator o Microsoft Authenticator.
Fatiga MFA: Bombardeo de notificaciones
Este método, conocido como «bombardeo de MFA», es una técnica psicológica.
El atacante intenta iniciar sesión repetidamente en la cuenta de la víctima, lo que genera una serie de notificaciones MFA en el dispositivo del usuario. El objetivo es que la persona, por error o cansancio, apruebe la solicitud y dé acceso al atacante.
¿Cómo protegerse? Revisa cuidadosamente cada solicitud de autenticación antes de aprobarla. Si recibes notificaciones inesperadas, ignóralas y cambia tu contraseña inmediatamente. Algunas aplicaciones permiten agregar un mensaje personalizado en cada intento de inicio de sesión, lo que ayuda a confirmar si la solicitud es legítima.
Recuerda que el código MFA sirve para confirmar que eres tú quien inicia sesión, pero previamente se ha debido introducir la contraseña. Por ello, proteger tu clave de acceso es también fundamental. Usa contraseñas aleatorias y evita errores que puedan comprometer tus cuentas.
SIM Swapping: Robo de la SIM
En este ataque, el ciberdelincuente contacta con la operadora móvil y se hace pasar por la víctima para obtener una copia de su tarjeta SIM. Una vez logrado, recibe mensajes de texto y llamadas, incluidos los códigos MFA, en su propio dispositivo.
Aunque este ataque no es sencillo, ya que las operadoras cuentan con medidas de seguridad para prevenirlo, puede ocurrir si obtienen suficiente información personal para suplantar tu identidad.
¿Cómo protegerse? Si tu MFA se basa en SMS, solicita protecciones adicionales a tu operador, como un PIN para cambios en tu cuenta. Usa aplicaciones de autenticación que generen códigos en tu dispositivo, sin depender de SMS.
Ingeniería social: Hackeo al usuario
En este tipo de ataque, los ciberdelincuentes no atacan la tecnología, sino a la persona. A través de técnicas de ingeniería social, se hacen pasar por técnicos o personas de confianza para obtener directamente el código de autenticación o realizar un restablecimiento de contraseña. Este método se aprovecha del desconocimiento o la falta de precaución del usuario.
¿Cómo protegerse? Mantente alerta ante solicitudes de acceso o cambios de contraseña, especialmente si provienen de contactos sospechosos. Las empresas rara vez solicitan códigos de autenticación o datos confidenciales por teléfono o correo electrónico. Por ejemplo, tu banco no te pedirá nunca un código que te hayan enviado por SMS.
Phishing-as-a-Service (PaaS)
Lamentablemente, existen kits de Phishing-as-a-Service (PaaS) que permiten a los ciberdelincuentes lanzar ataques sin apenas conocimientos técnicos. Estas herramientas están diseñadas para evadir la MFA, ofreciendo métodos y plataformas fáciles de usar para el robo de datos. Cualquiera puede adquirir estos kits en la Dark Web, aumentando el riesgo de ataque.
¿Cómo protegerse? Implementa una estrategia de seguridad en capas. Utiliza herramientas de detección de phishing. Educa a los empleados o usuarios sobre cómo identificar intentos de phishing para reducir considerablemente los riesgos.
Aunque la MFA sigue siendo una herramienta valiosa, no es infalible. Estar al tanto de estas técnicas y aplicar precauciones adicionales puede aumentar significativamente la seguridad de tus cuentas. No dejes toda la protección en manos de una sola herramienta; adoptar varias capas de defensa te permitirá estar un paso adelante frente a los ciberdelincuentes.