En un esfuerzo continuo por garantizar la seguridad de los usuarios online, Microsoft anunció la aplicación de nuevas medidas destinadas a mejorar la experiencia de autenticación multifactor (MFA) y a proporcionar una mayor protección contra el malware, que se aprovecha de las muy molestas notificaciones de spam en los ataques de MFA Fatigue.
Qué son los ataques de MFA Fatigue.
En los últimos años, el auge de los ataques de ingeniería social dio lugar a una nueva amenaza, conocida como “MFA Fatigue”, que pone en peligro la ciberseguridad de las empresas y sus empleados. Esta táctica, relacionada con la autenticación multifactor (MFA), está apareciendo como el arma favorita de los piratas informáticos para obtener acceso no autorizado a las redes corporativas, lo que lleva a las organizaciones a reconsiderar sus defensas digitales.
Los atacantes, cada vez más expertos en obtener acceso a las credenciales corporativas, utilizan diversas estrategias, como los ataques de phishing, el uso de malware y la compra de credenciales robadas en los mercados de la web oscura. Para contrarrestar esta tendencia, muchas empresas adoptaron la autenticación multifactor, que exige una verificación adicional, además de las credenciales de inicio de sesión. Sin embargo, un nuevo fenómeno conocido como MFA Fatigue está desafiando esta práctica de seguridad.
La técnica MFA Fatigue aprovecha las notificaciones “push” utilizadas en la autenticación multifactor. Cuando un usuario intenta iniciar sesión, recibe una notificación en su dispositivo móvil en la que se le pide que apruebe o rechace el intento de inicio de sesión. Los actores maliciosos orquestan un ataque ejecutando scripts que envían repetidamente solicitudes de verificación MFA al dispositivo de la víctima, creando una especie de “spam” de notificaciones. Este acoso constante pretende crear una sensación de fatiga y confusión en el usuario, incitándole a cometer errores.
Esta técnica fue adoptada con éxito por varios actores de amenazas, como Lapsus$ y Yanluowang, que tuvieron como objetivo grandes empresas como Microsoft, Cisco y Uber. La estrategia se ha aprovechado para sobrecargar a los empleados con notificaciones de MFA con el fin de que acepten las solicitudes de acceso sin pensárselo dos veces, abriendo así la puerta a otros ataques más selectivos contra la persona implicada.
Las últimas actualizaciones del Authenticator de Microsoft.
La empresa destacó recientemente la importancia de la autenticación multifactor, señalando que no todas las AMF ofrecen el mismo nivel de seguridad. En particular, se citó el uso del Authenticator como significativamente más seguro que la autenticación telefónica.
Un elemento clave de esta iniciativa es la lucha contra los ataques de MFA mediante la aplicación de la coincidencia de números, que demostró su eficacia a la hora de frustrar con éxito a los ciberdelincuentes dedicados a este tipo de ataques.
Sin embargo, a pesar de la eficacia de estas medidas, los atacantes siguen intentando utilizar métodos ingeniosos que pueden molestar a los usuarios. Por ejemplo, los mensajes del Authenticator, si son activados por un atacante, podrían suponer un riesgo para el phishing social. En respuesta a estas amenazas, Microsoft tomó medidas adicionales para garantizar la satisfacción y la seguridad de los usuarios.
Uno de los principales cambios realizados es la eliminación de las notificaciones emergentes de Authenticator en caso de solicitudes anómalas. Esta implementación, completada a finales de septiembre, redujo en gran medida el número de notificaciones irrelevantes, evitando más de 6 millones de notificaciones sin contraseñas y MFA desde que comenzó la implementación. La mayoría de estas notificaciones resultaron ser iniciativas de piratas informáticos sin valor para los clientes.
Las notificaciones del autenticador se suprimen ahora cuando una solicitud muestra riesgos potenciales, como proceder de una ubicación desconocida o presentar otras anomalías. Este enfoque pretende reducir significativamente las molestias a los usuarios eliminando las solicitudes de autenticación irrelevantes.
Sin embargo, en el caso de solicitudes de acceso que se consideren arriesgadas, el usuario no recibirá la notificación estándar. En su lugar, recibirá instrucciones directas: “Abra la aplicación Authenticator e introduzca el número que se muestra para iniciar sesión”, sin que aparezca la notificación correspondiente en el teléfono del usuario. Cuando el usuario abra la aplicación Authenticator, podrá ver la indicación y realizar la acción adecuada.
Es importante destacar que las notificaciones no se eliminan, sino que simplemente se suprimen. Los usuarios pueden acceder a ellas dentro de la aplicación Authenticator, que actúa como repositorio de todas las notificaciones de Authenticator, lo que les permite recuperar cualquier solicitud perdida.
Esta implementación específica dio lugar a una experiencia más fluida y segura para los usuarios. Microsoft hizo hincapié en la importancia de mejorar la comodidad de los usuarios y, al mismo tiempo, aumentar la seguridad.
Este nuevo enfoque es un ejemplo concreto de cómo está orientada a garantizar un entorno online más seguro y eficaz para los usuarios, a los que ahora se anima a actualizar la aplicación lo antes posible.