La autenticación multifactor (MFA) no es suficiente para una seguridad sólida

Durante el último año, SCILabs ha observado un incremento en el número de empresas que hacen uso de la MFA como parte de su control de seguridad, lo cual es bueno. Sin embargo, ha detectado algunos ataques a clientes, basados en MFA durante actividades posteriores a la infracción.

Los atacantes encuentran múltiples formas de eludir una MFA mal implementada en entornos empresariales, lo que subraya que todavía se requieren de mecanismos de redundancia que cuenten con un buen diseño.

La autenticación multifactor (MFA, por sus siglas en inglés) se encuentra entre las medidas más útiles que las empresas pueden utilizar contra el aumento de ataques de credenciales. Sin embargo, los atacantes se están adaptando, como se demuestra en una variedad de omisiones, que les ha permitido infiltrarse en redes, incluso en aquellas protegidas por MFA. Un ejemplo reciente es el de los atacantes detrás del compromiso de SolarWinds Orion, donde robaron las claves privadas para la infraestructura de inicio de sesión única (SSO – Single sign-on) en muchas empresas y luego las usaron para evitar las comprobaciones de MFA.

Tanto las empresas como los consumidores, preocupados por el aumento en el compromiso de las cuentas, han adoptado la MFA cómo un refuerzo en la seguridad. En 2019, un informe semestral que rastreó la adopción de la autenticación de dos factores encontró que el 53% de los encuestados la utilizaba para asegurar cuentas importantes, en comparación con el 28% en 2017. Otro estudio, financiado por Microsoft, encontró que el 85% de los ejecutivos se esperaba que tuvieran implementada y en uso la MFA a finales de 2020. Los beneficios son claros: Microsoft sostiene que las cuentas con MFA tienen un 99,9% menos de probabilidades de verse comprometidas. Con la adopción cada vez mayor de MFA, especialmente para ayudar a proteger a los trabajadores remotos durante la pandemia, los atacantes están buscando formas de evitar este tipo de tecnología, y a veces las encuentran.

La MFA no debería ser lo único; debería ser parte de un enfoque más amplio. Durante la implementación de la MFA en las empresas, las debilidades se presentan después de llevar a cabo el proceso de autenticación a la infraestructura y el posterior acceso a activos críticos sin protección de la MFA. Esta debilidad podría permitir a un equipo o a un usuario de bajo nivel verse comprometido y posteriormente hacerse de confianza en toda la red. Un atacante que comprometiera un equipo y tuviera credenciales para usuarios con mayores privilegios podría acceder a activos más críticos y a información confidencial.

Otro ejemplo es al incorporar nuevos usuarios a través del envío de un correo electrónico con un enlace que deban abrir en su teléfono, para que el sistema MFA corporativo permita emparejarse con su aplicación de token de software. Desafortunadamente, en ocasiones dichos enlaces que contienen la base criptográfica utilizada para generar un token, sólo están protegidos con un PIN de cuatro dígitos que podría replicar cualquier atacante con acceso al correo electrónico de un usuario.

Otro caso es cuando las empresas utilizan MFA para el acceso de escritorio remoto a un servidor, pero no para otros puertos o aplicaciones de este, lo que abre la máquina a compromisos de credenciales en otros canales y podría dar acceso a un atacante.

Cada ejemplo mostrado anteriormente no afecta la MFA, sino que busca maneras de eludir la forma en que fue implementada.

SCILabs recomienda que las organizaciones auditen su infraestructura de MFA para identificar las formas en que podría evitarse y cubrir sus debilidades. Además, deberían diseñar modelos de amenazas para comprender las estrategias con las que los atacantes podrían eludir la seguridad en el acceso.