Introducción
La autenticación de dos factores (2FA) o autenticación multifactor (MFA) es un método para autenticarse a través de un servicio que requiere al menos dos pruebas de reconocimiento.
Hoy en día, la mayoría de los servicios en la nube requieren que el usuario típico use métodos 2FA, como Google, Microsoft, Okta y AWS (con algunas excepciones).
La forma más fácil de implementar 2FA es usando una contraseña de un solo uso (OTP). Las OTP se pueden entregar de varias maneras:
- mensaje de texto
- dispositivo OTP físico (pantalla pequeña con fichas cambiantes)
- aplicación de autenticación en el teléfono
- dispositivo físico: una tarjeta con una clave privada específica (256 caracteres), como YubiKey
La industria de TI tiene mucha fe en MFA, pero no es a prueba de balas. Ha habido muchos ataques que eluden esta solución a lo largo de los años, y ahora estamos viendo más que nunca.
No existe una solución de inicio de sesión perfecta que se adapte completamente a las necesidades y objetivos de seguridad de todas las empresas, pero existen algunos MFA que ofrecen mejores resultados.
Omitir SMS 2FA
La autenticación por SMS alguna vez se consideró una de las formas más seguras para los usuarios que desean un tiempo de respuesta rápido y no tienen tokens de acceso u otros dispositivos físicos. Sin embargo, varios grupos de amenazas persistentes avanzadas (APT) han pasado por alto esta protección con facilidad.
Dispositivo comprometido
Algunos de los grupos APT más avanzados han infectado el teléfono inteligente de la víctima con malware que roba información, que luego accede a los mensajes SMS 2FA recibidos de la plataforma de autenticación en la nube.
El grupo APT del estado-nación Rampant Kitten ha creado una aplicación maliciosa que roba los mensajes SMS de sus víctimas. La aplicación registra todos los mensajes SMS de dos factores y los reenvía a un servidor controlado por el atacante.
Telecomunicaciones comprometidas: ataque SS7
Signaling System 7 (SS7) es un protocolo de comunicación de telecomunicaciones desarrollado en 1975, en uso en redes 2G y 3G. En 2008, los investigadores de seguridad revelaron una vulnerabilidad en el protocolo SS7 que les permitía geolocalizar cualquier número de teléfono. Esta vulnerabilidad requería que el atacante obtuviera acceso a la red SS7.
En 2014, se descubrió una nueva vulnerabilidad que permitía espiar las comunicaciones de teléfonos celulares (SMS y llamadas), al solicitar que el operador de cada persona que llama liberara una clave de cifrado temporal para desbloquear la comunicación después de que se grabe.
La primera evidencia directa de explotación de la red SS7 para eludir MFA fue en 2018. Un proveedor de servicios móviles alemán confirmó que los atacantes explotaron esta vulnerabilidad SS7 para eludir la autenticación de dos factores en varias cuentas bancarias, lo que les permitió retirar dinero. Los actores de la amenaza utilizaron un troyano bancario para recopilar las credenciales iniciales de las víctimas y, después de iniciar sesión, utilizaron el exploit SS7 para recibir la confirmación de los montos retirados y transferir el dinero.
¿Las vulnerabilidades SS7 siguen siendo un problema? Absolutamente.
Aunque las últimas versiones de telecomunicaciones, 4G y 5G, han implementado varias medidas de seguridad para evitar vulnerabilidades, deben interoperar con la tecnología heredada 2G y 3G.
En 2021, el Sistema Global para Comunicaciones Móviles (GSMA) estimó que actualmente, el 30% de las telecomunicaciones todavía usaban redes 2G y 3G. Mientras esas redes sean relevantes, los ataques SS7 son un riesgo.
Proveedor de telecomunicaciones comprometido: intercambio de SIM
Debido a que implementar hacks de telecomunicaciones como la explotación de SS7 puede ser bastante complicado, muchos delincuentes informáticos recientes ni siquiera se molestan en explotar tales vulnerabilidades: son rastreables y fácilmente identificables.
El intercambio de SIM (SIM-Swapping) es un ataque en el que los atacantes obtienen acceso a un proveedor de telecomunicaciones. Una forma es mediante la ingeniería social del trabajador del proveedor para cambiar el número de teléfono a la tarjeta SIM del atacante. Alternativamente, los atacantes pueden cambiar la plataforma interna y redirigir todas las comunicaciones desde el número de teléfono legítimo a la tarjeta SIM controlada por el atacante.
Dado que la víctima comprometida no tiene conocimiento de este ataque, y el atacante puede redirigir cualquier número de teléfono a la ubicación deseada, este método es el más popular para los SIM-swappers.
LAPSUS$, un grupo de ciberdelincuencia que publicó información interna de las principales empresas de software como Microsoft, Nvidia y Samsung, ha utilizado este método para eludir los inicios de sesión 2FA mediante redirecciones de SMS. Una conversación filtrada reveló que el grupo obtuvo acceso a una herramienta interna de T-Mobile y se dirigió específicamente a los empleados de la empresa para acceder a una plataforma interna para realizar tales intercambios de SIM.
El sistema Atlas, una herramienta interna de T-Mobile, fue utilizada por el grupo de ciberdelincuencia para el intercambio de SIM.
A medida que crece la demanda de intercambio de SIM, han surgido mercados darknet/Clearnet para vender el intercambio de SIM como un servicio.
Omitir OTP 2FA (Autenticación-Aplicaciones/tokens físicos)
Los métodos de autenticación SMS 2FA son los más fáciles de eludir. Dicho esto, pasar por alto otros métodos es un poco más complejo pero ciertamente factible.
Phishing: viejo pero dorado
Los métodos antiguos, como el phishing, no funcionaban para eludir 2FA tal como están. Esto llevó a los atacantes a evolucionar y crear nuevos métodos para eludir 2FA en sus sitios de phishing.
El nuevo ataque se llama «RealTimePhishing». Con este método, el atacante transmite las credenciales y los códigos 2FA a un servidor designado, que luego envía una solicitud en tiempo real al servicio legítimo (¿servidor?) para autenticarse.
El flujo del ataque es el siguiente:
- La víctima ingresa las credenciales de nombre de usuario y contraseña en el sitio de phishing;
- el servidor de phishing envía una solicitud legítima al sitio legítimo usando las credenciales de la víctima;
- el sitio legítimo envía un código 2FA a la víctima;
- la víctima escribe en el sitio de phishing el 2FA;
- 2FA se reenvía al sitio legítimo;
- el sitio legítimo envía una cookie de sesión al atacante.
Este método solo funciona si el flujo es fluido y el sitio legítimo no bloquea las solicitudes del servidor malicioso.
Automatización de la omisión de 2FA — Phishing
Como todo concepto en seguridad cibernética, se ha construido la automatización para tales operaciones. Una de estas automatizaciones se llama Evilngix2, una herramienta que se utiliza para crear plantillas de phishing automáticas de omisión de 2FA.
El servidor está configurado para imitar sitios de inicio de sesión legítimos como:
- Okta
- Microsoft Office 365
- y muchos más
Todo lo que el usuario necesita para la configuración es un nombre de dominio registrado válido y, si es posible, habilitará SSL en el sitio.
La herramienta creará un subdominio de elección y alojará una plantilla de phishing (o phishlet) del sitio legítimo deseado. El sitio de phishing intentará autenticarse utilizando las credenciales del usuario y OTP para robar el token (cookie).
Derivación física
Los dispositivos físicos de autenticación 2FA son la forma más segura de mantener la privacidad de sus datos, ya que los usuarios no tienen acceso cuando no están conectados.
Independientemente de esta capa de seguridad, los investigadores descubrieron vulnerabilidades físicas en proveedores de 2FA como Yubikey y Google Titan en 2021, quienes luego pudieron copiar una réplica exacta de la clave mediante un ataque de canal lateral.
Es poco probable que ocurra este método de ataque, pero sigue siendo una vulnerabilidad que vale la pena considerar.
De cara al futuro: inicio de sesión sin contraseña
Los principales problemas de seguridad son básicamente las contraseñas que se pasan de un lado a otro y terminan en las manos equivocadas.
Es poco probable que ocurra este método de ataque, pero sigue siendo una vulnerabilidad que vale la pena considerar.
De cara al futuro: inicio de sesión sin contraseña
Los principales problemas de seguridad son básicamente las contraseñas que se pasan de un lado a otro y terminan en las manos equivocadas.
