- Muchas empresas siguen utilizando obsoletos métodos MFA, lo que supone un grave peligro para la seguridad de la información.
- A pesar de que la autenticación multifactor es la forma más efectiva de fortalecer la seguridad de los datos privados; todavía existen muchas empresas que no le prestan la atención que se merece.
La autenticación multifactor es una de las maneras más efectivas de proporcionar seguridad para la información empresarial e infraestructuras técnicas. Sin embargo, no todos funcionan de la misma manera y existen 4 peligros importantes de seguir utilizando métodos MFA obsoletos.
Peligros de utilizar métodos MFA obsoletos
En el panorama de ciberseguridad actual, la tecnología debe evolucionar de forma acelerada; lo que deja muchos MFA en la historia y con una seguridad mediocre. Muchos actores maliciosos utilizan diferentes técnicas muy efectivas para saltar estos métodos de seguridad que, ya no sirven para nada.
Contraseñas mal administradas y robadas
La gran mayoría de los métodos MFA tradicionales tienen contraseñas, las cuales se pueden ver comprometidas de una manera bastante sencilla. Muchas personas terminan por olvidar sus contraseñas, para evitarlo, intentan utilizar las mismas para todo. Siguiendo con este punto se intenta crear contraseñas fáciles de recordar, las cuales también son las más inseguras. Adicionalmente, guardan sus contraseñas en un documento o aplicación sin ninguna clase de protección para tener una referencia sencilla, jamás usan un administrador de contraseñas, por ejemplo.
Incluso si se crea una contraseña segura y jamás se comparte de ninguna forma; un malware keylogger o screen-scraper, puede recopilar cuando se escribe y entregársela a los malos actores. Es un riesgo compuesto bastante grande y la principal razón por la cual, las agencias gubernamentales como el Instituto Nacional de Estándares y Tecnología (NIST) y el FBI advierten con mucha frecuencia no utilizar enfoques MFA obsoletos.
Interacciones de máquinas desprotegidas
A pesar de lo poco eficaz que es MFA con relación a las sesiones de dispositivos. Tampoco da ninguna clase de seguridad para las sesiones de ordenador a ordenador que ocurren detrás del firewall de una empresa. En este aspecto, una autenticación sólida es totalmente necesaria para proteger las sesiones entre servidores, apps, dispositivos y otros nodos de red.
Uno de los métodos más utilizados para intentar solucionar este inconveniente se consigue con un MFA basado en infraestructura de clave pública (PKI) el cual usa certificados digitales. Estos certificados intercambiados al inicio de cualquier sesión; autentican las identidades de los usuarios de la sesión de manera estructura y se aseguran que solo los ordenadores específicos tengan acceso.
Pero el tema es que PKI es una tecnología bastante complicada y compleja, incluso más en proporción al número total de certificados digitales. Darse cuenta del resultado previsto de una implementación de PKI va a requerir una gran experiencia y sobre todas las cosas, contar con las herramientas correctas.
Las organizaciones que intentan implementarlo pueden encontrar mejores resultados si se asocian con un tercero de confianza que esté muy especializado en PKI y en la gestión del ciclo de vida de los certificados digitales.
Vulnerabilidades de verificación de capas
Para una mayor seguridad, dejando de lado las contraseñas, la autenticación de dos factores (2FA) solicita a los usuarios autenticar sus identidades con un enfoque basado en un token o usando un canal de comunicación externo.
Los factores de autenticación incluyen conocimiento (las respuestas a las preguntas de seguridad); posesión (contraseña de un único uso en un dispositivo); o inherencia (atributo personal, como una huella dactilar). Estos factores en muchas ocasiones se denominan, respectivamente, “lo que sabes”, “lo que tienes” y “lo que eres”.
Un simple ejemplo: después de un ingreso de contraseña exitosa, el servidor genera otra credencial, como una especie de código temporal o una contraseña adicional; la misma es enviada al dispositivo solicitante. Estos códigos de acceso únicos asociados con una contraseña, constituyen un secreto compartido o “simétrico” los cuales son muy susceptibles a ser descubiertos.
La autenticación fuera de banda (OOB) es una clase de 2FA que requiere de dos canales de comunicación distintos: la conexión a través de internet y una llamada telefónica. Aunque estos enfoques complican los ataques estándar, los malos actores todavía pueden transferir un número de teléfono a un dispositivo de su propiedad para lograr obtener las OTP a través de técnicas como el intercambio de SIM.
Este método fue muy exitoso en medio del ataque al fundador de Twitter, Jack Dorsey, en donde el atacante pudo engatusar a un operador de telefonía móvil para que transfiriera el número de teléfono en la cuenta de Dorsey a una tarjeta SIM.
2FA posiciona la carga de seguridad en los hombros del usuario y más seguido de lo que nos imaginamos, compromete la eficacia de agregar pasos molestos para el usuario.
Diferentes trucos de ingeniería social
La ingeniería social, un proceso para persuadir a los empleados para que realicen acciones en función de una cuenta falsa o una solicitud que se ve impulsada por emociones, es una herramienta versátil y creativa que muchos ciberdelincuentes utilizan para superar los MFA obsoletos.
Gracias a la ingeniería social, los malos actores son capaces de obtener acceso a información privada: credenciales de empleados, información de identificación personal de clientes y empleados, diferentes tipos de cuentas, chats, etc. Es posible engañar a los empleados para que transfieran dinero a diferentes cuentas que simulan ser de proveedores o socios; pero que están siendo controladas por estas personas mal intencionadas.
Otra cosa que es posible, es engañar a los usuarios para que instalen aplicaciones maliciosas en sus dispositivos con capacidades varias, como la grabación de pantalla. En marzo de 2020 apareció TrickBot, un troyano capaz de grabar la pantalla y ver todo lo que ocurría, especialmente ver mensajes con contraseñas de un único uso. Las contraseñas de un solo uso basadas en SMS quedaron en el pasado y son un peligro.