La autenticación multifactor (Multifactor Authenticaction – MFA) es una defensa central que se encuentra entre las más efectivas para prevenir la apropiación de cuentas. Además de exigir que los usuarios proporcionen un nombre de usuario y una contraseña, MFA garantiza que también deben usar un factor adicional, ya sea una huella digital, una clave de seguridad física o una contraseña de un solo uso, antes de que puedan acceder a una cuenta. Nada en este artículo debe interpretarse como que MFA no es más que esencial.

Dicho esto, algunas formas de MFA son más fuertes que otras, y los eventos recientes muestran que estas formas más débiles no son un gran obstáculo para que algunos piratas informáticos las eliminen. En los últimos meses, presuntos niños guionistas como la pandilla de extorsión de datos Lapsus$ y los actores de amenazas de élite del estado ruso (como Cozy Bear, el grupo detrás del hackeo de SolarWinds) han derrotado con éxito la protección.

Ingrese el bombardeo de solicitud de MFA

Las formas más fuertes de MFA se basan en un marco llamado FIDO2, que fue desarrollado por un consorcio de empresas para equilibrar la seguridad y la simplicidad de uso. Brinda a los usuarios la opción de usar lectores de huellas dactilares o cámaras integradas en sus dispositivos o claves de seguridad dedicadas para confirmar que están autorizados a acceder a una cuenta. Las formas FIDO2 de MFA son relativamente nuevas, por lo que muchos servicios tanto para consumidores como para grandes organizaciones aún no las han adoptado.

Ahí es donde entran las formas más antiguas y más débiles de MFA. Incluyen contraseñas de un solo uso enviadas a través de SMS o generadas por aplicaciones móviles como Google Authenticator o notificaciones automáticas enviadas a un dispositivo móvil. Cuando alguien inicia sesión con una contraseña válida, también debe ingresar la contraseña de un solo uso en un campo en la pantalla de inicio de sesión o presionar un botón que se muestra en la pantalla de su teléfono.

Es esta última forma de autenticación la que, según informes recientes, se está pasando por alto. Un grupo que utiliza esta técnica, según la firma de seguridad Mandiant, es Cozy Bear, una banda de piratas informáticos de élite que trabajan para el Servicio de Inteligencia Exterior de Rusia. El grupo también se conoce con los nombres de Nobelium, APT29 y Dukes.

“Muchos proveedores de MFA permiten a los usuarios aceptar una notificación de aplicación de teléfono o recibir una llamada telefónica y presionar una tecla como segundo factor”, escribieron los investigadores de Mandiant. “El actor de amenazas [Nobelium] se aprovechó de esto y emitió múltiples solicitudes de MFA al dispositivo legítimo del usuario final hasta que el usuario aceptó la autenticación, lo que permitió que el actor de amenazas finalmente obtuviera acceso a la cuenta”.

Lapsus$, una banda de hackers que ha violado la seguridad de Microsoft, Okta y Nvidia en los últimos meses, también ha utilizado la técnica.

“No se pone límite a la cantidad de llamadas que se pueden hacer”, escribió un miembro de Lapsus$ en el canal oficial de Telegram del grupo. “Llama al empleado 100 veces a la 1 a. m. mientras intenta dormir y lo más probable es que lo acepte. Una vez que el empleado acepta la llamada inicial, puede acceder al portal de inscripción de MFA e inscribir otro dispositivo”.

El miembro de Lapsus$ afirmó que la técnica de bombardeo rápido de MFA fue efectiva contra Microsoft, que a principios de esta semana dijo que el grupo de piratería pudo acceder a la computadora portátil de uno de sus empleados.

“¡Incluso Microsoft!” la persona escribió. “Pude iniciar sesión en la VPN de Microsoft de un empleado de Alemania y Estados Unidos al mismo tiempo y ni siquiera pareció darse cuenta. También pude volver a inscribirme en MFA dos veces”.

Mike Grover, un vendedor de herramientas de piratería del equipo rojo para profesionales de la seguridad y consultor del equipo rojo que usa el identificador de Twitter MG, dijo que “fundamentalmente un método único que toma muchas formas: engañar al usuario para que reconozca un MFA petición. ‘Bombardeo MFA‘ se ha convertido rápidamente en un descriptor, pero esto pasa por alto los métodos más sigilosos”.

Los métodos incluyen:

• Enviar un montón de solicitudes de MFA y esperar que el objetivo finalmente acepte una para detener el ruido.
• Envío de uno o dos avisos por día. Este método a menudo atrae menos atención, pero “todavía hay una buena posibilidad de que el objetivo acepte la solicitud de MFA“.
• Llamar al objetivo, fingir ser parte de la empresa y decirle al objetivo que debe enviar una solicitud de MFA como parte de un proceso de la empresa.

“Esos son solo algunos ejemplos“, dijo Grover, pero es importante saber que los bombardeos masivos NO son la única forma que toma.

En un hilo de Twitter, escribió: “Los equipos rojos han estado jugando con variantes de esto durante años. Ha ayudado a las empresas que tienen la suerte de tener un equipo rojo. Pero los atacantes del mundo real están avanzando en esto más rápido de lo que ha mejorado la postura colectiva de la mayoría de las empresas”.

Otros investigadores se apresuraron a señalar que la técnica de solicitud de MFA no es nueva.

“Lapsus$ no inventó el ‘bombardeo rápido de MFA‘”, tuiteó Greg Linares, un profesional del equipo rojo. “Por favor, deja de darles crédito… como su creación. Este vector de ataque ha sido una cosa utilizada en ataques del mundo real 2 años antes de que lapsus fuera una cosa”.

Buen chico, FIDO

Como se señaló anteriormente, las formas FIDO2 de MFA no son susceptibles a la técnica, ya que están vinculadas a la máquina física que alguien usa al iniciar sesión en un sitio. En otras palabras, la autenticación debe realizarse en el dispositivo que está iniciando sesión. No puede ocurrir en un dispositivo para dar acceso a un dispositivo diferente.

Pero eso no significa que las organizaciones que usan MFA compatible con FIDO2 no puedan ser susceptibles a bombardeos rápidos. Es inevitable que un cierto porcentaje de personas inscritas en estas formas de MFA pierdan su clave, dejen caer su iPhone en el inodoro o rompan el lector de huellas dactilares de su computadora portátil.

Las organizaciones deben contar con contingencias para hacer frente a estos eventos inevitables. Muchos recurrirán a formas más vulnerables de MFA en caso de que un empleado pierda la clave o el dispositivo necesario para enviar el factor adicional. En otros casos, el pirata informático puede engañar a un administrador de TI para que restablezca el MFA e inscriba un nuevo dispositivo. En otros casos, MFA compatible con FIDO2 es simplemente una opción, pero aún se permiten formas menos seguras.

“Los mecanismos de reinicio/copia de seguridad siempre son muy jugosos para los atacantes”, dijo Grover.

En otros casos, las empresas que utilizan MFA compatible con FIDO2 confían en terceros para administrar su red o realizar otras funciones esenciales. Si los empleados de terceros pueden acceder a la red de la empresa con formas más débiles de MFA, eso anula en gran medida el beneficio de las formas más fuertes.

Incluso cuando las empresas utilizan MFA basado en FIDO2 en todas partes, Nobelium ha podido vencer la protección. Sin embargo, esa omisión solo fue posible después de que los piratas informáticos comprometieran por completo el Active Directory de un objetivo, la herramienta de base de datos fuertemente fortificada que los administradores de red usan para crear, eliminar o modificar cuentas de usuario y asignarles privilegios para acceder a recursos autorizados. Ese desvío está más allá del alcance de esta publicación porque una vez que se piratea un AD, prácticamente se acabó el juego.

Una vez más, cualquier forma de MFA es mejor que no usarla. Si las contraseñas de un solo uso enviadas por SMS son todo lo que está disponible, por falibles y desagradables que sean, el sistema sigue siendo infinitamente mejor que no tener MFA. Nada en esta publicación pretende decir que MFA no vale la pena.

Pero está claro que la MFA por sí sola no es suficiente, y difícilmente constituye una casilla que las organizaciones puedan marcar y acabar con ella. Cuando Cozy Bear encontró estas lagunas, nadie se sorprendió especialmente, dados los recursos infinitos del grupo y su destreza comercial de primer nivel. Ahora que los adolescentes están usando las mismas técnicas para violar empresas tan poderosas como Nvidia, Okta y Microsoft, la gente está comenzando a reconocer la importancia de usar MFA correctamente.

“Si bien puede ser tentador descartar a Lapsus$ como un grupo inmaduro y en busca de fama”, escribió el reportero Brian Krebs de KrebsOnSecurity la semana pasada, “sus tácticas deberían hacer que cualquiera a cargo de la seguridad corporativa se siente y tome nota”.

El bombardeo rápido de MFA puede no ser nuevo, pero ya no es algo que las empresas puedan ignorar.