Cómo proteger tus cuentas

Cómo proteger tus cuentas – Codelivly

 

A medida que las empresas exigen cada vez más versiones más sólidas de seguridad para sus empleados y clientes, los atacantes mejoran en eludir la autenticación multifactor (MFA), lo que resulta en un flujo constante de compromisos, como se anunció esta semana de una violación de datos en la firma de seguridad cibernética LastPass y el anuncio de incumplimiento del servicio de redes sociales Reddit a principios de febrero.

Aunque hay varias formas de eludir la seguridad defectuosa de la autenticación de dos factores (2FA) que usa contraseñas de un solo uso (OTP) enviadas a través de SMS (servicio de mensajes cortos), los sistemas protegidos por notificaciones automáticas o que usan tokens de hardware se consideran mucho más difíciles de compromiso. Aún así, los atacantes aterrizaron en un trío de técnicas para eludir la seguridad adicional: inundación de MFA, ataques de proxy y secuestro de sesión, centrados en el usuario, la red y el navegador, respectivamente.

“La mayoría de las veces, los atacantes eluden las formas más débiles de MFA, especialmente aquellas que usan SMS, [but] Hay muchas técnicas utilizadas por los atacantes para eludir MFA, incluida la inundación de MFA, el intercambio de SIM y los ataques de atacante en el medio”, dice Matt Caulfield, director ejecutivo de Oort, un proveedor de seguridad enident.

Gráfico que muestra el aumento de los ataques de omisión de MFA en 2022
Los ataques de omisión de MFA aumentaron en 2020 (verde) en comparación con años anteriores. Fuente: Okta
Índice
  1. MFA Inundaciones y Fatiga
  2. Secuestro de sesión y ataques Pass-the-Cookie
  3. Ataques de proxy y AitM
  4. Restablecimiento de matriz

MFA Inundaciones y Fatiga

El primer objetivo de los atacantes suele ser el humano detrás del teclado. En general, el 82 % de las filtraciones involucraron el "elemento humano" y más del 80 % de las filtraciones de aplicaciones web se atribuyen al uso de credenciales robadas, según el "Informe de investigaciones de filtraciones de datos de 2022 (DBIR)" de Verizon.

La inundación de MFA, donde un atacante intentará repetidamente iniciar sesión con credenciales robadas para crear una avalancha de notificaciones automáticas, tiene como objetivo aprovechar la fatiga del usuario para las advertencias de seguridad. "Las notificaciones automáticas son un paso adelante de los SMS, pero son susceptibles a la inundación de MFA y los ataques de fatiga de MFA, bombardeando a la víctima con notificaciones con la esperanza de que haga clic en "Permitir" en uno de ellos", dice Caulfield.

Otra táctica popular, el ataque de restablecimiento de cuenta, tiene como objetivo engañar al soporte técnico para que otorgue a los atacantes el control de una cuenta específica, un enfoque que condujo al compromiso exitoso de la cadena de desarrollo de Slack para Rockstar Games de Take-Two Interactive, el creador de Grand Robo de Franquicia Automotriz.

“Un atacante pondrá en peligro las credenciales de un usuario, luego se hará pasar por un proveedor o empleado de TI y le pedirá al usuario un código de verificación o que apruebe un aviso de MFA en su teléfono”, explica Jordan LaRose, Director de Prácticas de Seguridad de Infraestructura en NCC Group. “Los atacantes a menudo usan la información que ya han comprometido como parte del ataque de ingeniería social para adormecer a los usuarios con una falsa sensación de seguridad”.

Secuestro de sesión y ataques Pass-the-Cookie

Después de que un trabajador inicie sesión en una cuenta en línea o en un servicio en la nube, normalmente se establece una cookie de sesión que contiene las credenciales de autenticación del usuario y permanece activa hasta que el usuario finaliza la sesión al cerrar la sesión. Una táctica común posterior al compromiso es que el atacante recolecte todas las cookies en el caché del navegador para su uso potencial como un ataque de secuestro de sesión o paso de cookies. El malware como Emotet tiene esta característica como característica estándar.

Otras variaciones de este ataque utilizan secuencias de comandos entre sitios o extensiones de navegador maliciosas para tomar el control de la sesión de un usuario después de romper la barrera de MFA, dice LaRose de NCC Group.

"El objetivo final de esta técnica es atacar la sesión del usuario indirectamente y, por lo tanto, no interactuar con los controles de seguridad más estrictos en el flujo de inicio de sesión", dice.

Ataques de proxy y AitM

Finalmente, los atacantes pueden intentar comprometer la infraestructura entre el dispositivo del usuario y un servicio en la nube o un sitio en línea. En utilisant un serveur compromis ou malveillant pour intercepter les requêtes de l'utilisateur et du serveur de destination, une attaque par proxy - ou attaque Adversary-in-the-middle (AitM) - permet aux cyberattaquants de récolter le mécanisme d'authentification en tiempo real.

"Esto permite a los atacantes eludir la mayoría de los métodos disponibles de MFA, ya que el usuario proporciona al sitio y al atacante tanto el nombre de usuario y la contraseña como una autenticación adicional", dijo Drew Trumbull, jefe del Equipo de Respuesta a Incidentes de la Oficina de Seguridad de la Información. en la Universidad de Carolina del Norte, dijo en una revisión de la técnica.

La técnica puede haber contribuido a la brecha en LastPass, donde "el actor de la amenaza pudo capturar la contraseña maestra del empleado tal como fue ingresada, luego de que el empleado se autenticara con MFA", según el comunicado de la compañía.

Restablecimiento de matriz

Para defenderse de los ataques más recientes, las organizaciones deben implementar MFA resistente al phishing, que consiste en algo de su propiedad, como una llave de hardware, y algo que usted es, como datos biométricos. Las soluciones clave de hardware comunes, como Yubikey, han hecho que MFA resistente al phishing sea más fácil de implementar, dice LaRose de NCC Group.

Desafortunadamente, todavía existen barreras para que las empresas adopten claves de hardware, lo que dificulta lograr una cobertura total, dice Caulfield de Oort.

“La simple logística de enviar llaves de seguridad de hardware a cada empleado y administrar el proceso cuando las pierden puede ser una pesadilla”, dice. "Enviar computadoras portátiles y llaves de seguridad a los contratistas es aún más difícil".

Y con el aumento de los gastos generales de administración de dispositivos, otro gran avance para los atacantes es restablecer una cuenta después de perder o robar un dispositivo. Al pretender ser la víctima, un atacante puede pretender haber perdido un dispositivo, lo que le permite registrar un nuevo factor al iniciar sesión o actuar durante un período de gracia de reinicio, dice Caulfield de Oort.

“Los reinicios de MFA son un gran desafío”, dice. "Es probable que veamos a los atacantes pasar del cartero como una debilidad al proceso de registro y reinicio".

Y, de hecho, en lugar de utilizar un token de hardware, es mucho más probable que los trabajadores y los consumidores se suscriban a una pregunta de seguridad o utilicen una OTP basada en el tiempo (TOTP) recibida por correo electrónico o SMS. Casi el 80 % de los usuarios encuestados en el proveedor de identidad Okta, por ejemplo, usa el correo electrónico como segundo factor, y casi el 40 % recibe un TOTP a través de una aplicación, mientras que solo alrededor del 5 % usa un token o Yubikey, según Oort. Informe “Estado de la seguridad de la identidad 2023”. Los usuarios de Azure AD y Duo Security muestran preferencias similares, señala el informe, con preguntas de seguridad y códigos de acceso de SMS que dominan los números de inscripción.

Una de las razones principales de este aumento en los ataques de omisión de MFA se debe al aumento del trabajo remoto. Con más y más personas trabajando desde casa y accediendo a las cuentas de la empresa desde una variedad de ubicaciones y dispositivos, a los atacantes cibernéticos les resulta más fácil obtener acceso a información confidencial.

Para proteger sus cuentas de estos ataques, es importante tomar precauciones adicionales al configurar MFA. Aquí hay algunos consejos:

  1. Use una contraseña segura y única: una contraseña segura es esencial para proteger su cuenta, y usar una contraseña única para cada cuenta evitará que los atacantes accedan a todas sus cuentas si logran descifrar una contraseña.
  2. Habilite MFA en todas las cuentas: habilite MFA en todas sus cuentas que ofrecen esta medida de seguridad, incluidas las cuentas de correo electrónico, banca y redes sociales.
  3. Use un dispositivo separado para MFA: use un dispositivo separado, como una clave de seguridad física, para MFA en lugar de depender de su teléfono o correo electrónico.
  4. Esté atento al phishing: tenga cuidado con los correos electrónicos, mensajes de texto o llamadas telefónicas que le piden que ingrese su contraseña u otra información personal. Siempre verifique la legitimidad del remitente antes de proporcionar información sensible.
  5. Mantenga el software actualizado: asegúrese de mantener actualizado todo el software, incluido el sistema operativo y el antivirus, para evitar que se exploten las vulnerabilidades.

Si quieres conocer otros artículos parecidos a Cómo proteger tus cuentas puedes visitar la categoría Tutoriales.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Subir

Esta página web utiliza cookies para analizar de forma anónima y estadística el uso que haces de la web, mejorar los contenidos y tu experiencia de navegación. Para más información accede a la Política de Cookies . Ver mas