Can multi-factor authentication be hacked?

• Al igual que los ETF de bitcoin, los ETF de Ethereum ofrecen a los inversores una forma cómoda de acceder a una criptomoneda sin tener que mantener el activo digital directamente.
• La autenticación multifactor puede ser hackeada de cuatro maneras: ingeniería social, página de destino falsificada, secuestro de sesión e intercambio de SIM.
• Podría proteger su empresa de los ataques a la MFA configurando la MFA con políticas sólidas y utilizando llaves de hardware.

Autenticación multifactor (MFA) es el proceso en el que un usuario o dispositivo proporciona dos o más tipos diferentes de pruebas de control asociadas a una identidad digital específica, para obtener acceso a los permisos, derechos, privilegios y membresías correspondientes. La autenticación de dos factores (2FA) implica que se requieren exactamente dos pruebas para una autenticación exitosa, y es un subconjunto de la MFA.

Para entender cómo funciona la MFA se requiere una comprensión más amplia del concepto de autenticación. En un marco de gestión de acceso a la identidad (IAM, por sus siglas en inglés), los factores de autenticación son mecanismos de seguridad utilizados para demostrar que un usuario es quien dice ser antes de que se le permita acceder a información privilegiada. Ver también: Ziggo Group nombra a sus líderes antes de su salida a bolsa en Ámsterdam en 2027.

Existen tres tipos de factores de autenticación: factores de conocimiento, factores de posesión y factores de inherencia. Ver también: Asociación ECHOES.

La MFA exige que los usuarios demuestren al menos dos de estos factores para verificar su identidad. Ver también: IT Department - Athlok.

¿Cómo pueden los hackers eludir la autenticación multifactor?

Ingeniería social

La ingeniería social consiste en engañar a una víctima para que revele información privilegiada que pueda ser aprovechada en un ciberataque. Este método de ataque se utiliza con mayor frecuencia cuando el atacante ya ha comprometido el nombre de usuario y la contraseña de la víctima y necesita eludir factores de autenticación adicionales. Ver también: Alejandro Estua.

En este caso, un atacante se hará pasar por “alguien de TI” u otro usuario de confianza. Luego utilizará esta posición de confianza para manipular a los usuarios y conseguir que compartan detalles importantes de la cuenta. Una vez que el usuario haya entregado sus datos, el atacante podrá acceder a su cuenta y a la red corporativa. Incluso podría cambiar la contraseña de ese usuario, lo que significa que este perdería el acceso a la cuenta. Ver también: Alejandro Manzo.

Estos atacantes podrían advertir al usuario de que su cuenta ya ha sido hackeada, o de que corre el riesgo de ser hackeada si no comparte sus datos con el “usuario de confianza” que puede actuar para evitarlo. Irónicamente, esto lleva a los usuarios a entregarle al hacker todo lo que necesita para eludir la MFA e infiltrarse en su red corporativa. Ver también: Alejandro Hernandez.

Página de destino falsificada

Una página de destino falsificada es un sitio fraudulento diseñado para parecerse a un sitio de buena reputación y confianza que ya conoce y utiliza. Podría ser LinkedIn, Facebook, Gmail u otro sitio popular. Cuando intente iniciar sesión en este sitio, se le denegará el acceso y los actores maliciosos almacenarán los datos de su cuenta. El actor malicioso puede entonces utilizar los datos que usted ha proporcionado para eludir la seguridad de la MFA en el sitio web o la cuenta genuinos. Ver también: Alejandro Garza.

Lea también: IA: Las oportunidades y las amenazas

Secuestro de sesión (session hijacking)

El secuestro de sesión (o robo de cookies) se produce cuando un ciberdelincuente compromete la sesión de inicio de sesión de un usuario mediante un ataque de intermediario (man-in-the-middle). Las cookies de sesión desempeñan un papel importante en la experiencia de usuario (UX) en los servicios web. Ver también: Alejandro Guerrero.

Cuando un usuario inicia sesión en una cuenta en línea, la cookie de sesión contiene las credenciales de autenticación del usuario y rastrea su actividad en la sesión. La cookie permanece activa hasta que el usuario finaliza la sesión cerrando la sesión.

El secuestro de sesión es posible cuando un servidor web no marca las cookies de sesión como seguras. Si los usuarios no envían las cookies de vuelta al servidor a través de HTTPS, los atacantes pueden robar la cookie y secuestrar la sesión, eludiendo la MFA.

Intercambio de SIM

Las contraseñas de un solo uso (OTP, por sus siglas en inglés) son una forma común de verificar la identidad mediante soluciones MFA. Por lo general, se trata de un código de seis u ocho dígitos que se le envía por SMS. Al introducir el código, usted verifica que tiene el teléfono celular vinculado al usuario nombrado, lo que sugiere que su identidad es auténtica.

Sin embargo, los hackers pueden ponerse en contacto con su proveedor de telefonía móvil y convencerlo de que realice un intercambio de SIM. Esto hará que los mensajes destinados al usuario se redirijan al hacker. A continuación, pueden acceder a su cuenta utilizando el código de verificación que estaba destinado a usted. Se necesita un cierto grado de ingeniería social para persuadir al operador de telefonía móvil de que cambie la SIM; los hackers también tendrán que conocer el resto de los datos de su cuenta antes de intentar este método.

Podrían obtener estos datos en la web oscura, mediante una base de datos de credenciales recopiladas durante una filtración de datos anterior, o utilizando una página de destino falsificada.

Lea también: ¿Qué es Perplexity AI?

¿Cómo puede proteger su empresa de los ataques a la MFA?

Configuración de la MFA

Al configurar su MFA con políticas sólidas, puede aumentar la solidez de la protección que resguarda las cuentas de sus usuarios. Los factores biométricos – como los sensores de huellas dactilares, Face ID y el análisis de la escritura – son los más difíciles de suplantar y, por lo tanto, harán mucho más difícil que los hackers infiltren sus cuentas. La incorporación de análisis contextuales y de comportamiento también puede ayudar a prevenir intrusiones no deseadas. Esto registra factores como la ubicación habitual de un usuario y sus horas de inicio de sesión.

Cualquier inicio de sesión que no se ajuste al patrón de comportamiento esperado se marcará como sospechoso y se bloqueará.

Llaves de autenticación de hardware

Las llaves de hardware, en particular las que utilizan los principios de FIDO 2, son uno de los métodos de identificación más seguros. Es muy difícil para un hacker acceder a la información y al hardware físico necesario para este tipo de ataque. Las llaves de hardware suelen estar diseñadas para ser inviolables y garantizar la seguridad de su cuenta. FIDO 2 es un estándar sin contraseña que es fácil de usar y muy seguro. Utiliza criptografía de clave pública, lo que hace prácticamente imposible que un hacker encuentre una forma de acceder a su cuenta.

Puede que se pregunte por qué es necesaria la MFA después de leer este artículo, teniendo en cuenta la facilidad con la que puede verse comprometida. Es correcto decir que ninguna solución de ciberseguridad puede garantizar una impenetrabilidad total. Los hackers siempre están buscando aberturas en los sistemas y métodos para acceder a información privada. Por otro lado, una cuenta con MFA será mucho más difícil de hackear que una sin ella.