MFA, también conocido como doble factor de autenticación o 2FA, consiste en una mejora a la seguridad que permite al usuario presentar dos piezas de evidencia o credenciales, que lo identifiquen inequívocamente ante un servicio.

Las credenciales se pueden categorizar en tres áreas: algo que el usuario sabe (su contraseña o PIN), algo que tiene (como una tarjeta inteligente) o algo que lo identifica (como su huella digital). Para lograr MFA se deben usar credenciales de dos categorías distintas, es decir, dos contraseñas no se consideran multi factor. La ventaja del uso de autenticación multi factor está en la capa adicional de seguridad que brinda, haciendo más difícil a los atacantes el lograr una intrusión.

Un grupo de investigadores ha descubierto miles de herramientas de phishing con la habilidad para interceptar los códigos de 2FA y eludir la seguridad. A continuación, mencionaremos dos técnicas comunes que utilizan los atacantes: ataques de hombre en el medio (MitM) y ataques en tiempo real.

El uso de herramientas de phishing está en aumento, en especial las denominadas hombre en el medio (MitM) se han vuelto muy populares en los últimos años. Los investigadores han descubierto 1,200 toolkits en uso, y la tendencia al alza se puede atribuir al aumento en el uso de autenticación por 2FA como estándar de seguridad.

Los atacantes están usando herramientas para robar las cookies de autenticación, las cuales son esencialmente archivos creados en el navegador al iniciar sesión después de usar 2FA. En la mayoría de los casos, los atacantes utilizan programas maliciosos para robar estas cookies. Pero con MitM, los hackers las interceptan mientras están en tránsito desde el proveedor de servicio al usuario, sin infectar la computadora del usuario con malware.

El phishing en tiempo real es cuando un operador se sienta frente a un panel web y un usuario interactúa con un sitio de phishing. Al ingresar los factores relativos a MFA, el atacante redirige al usuario la solicitud, para así obtener los códigos reales por email, SMS o aplicación de autenticación. De esta manera es posible obtener el token de 2FA y utilizarlo en el sitio real, estableciendo una conexión indirecta, pero legítima entre su sistema y la cuenta de la víctima.

El hackeo en tiempo real es apropiado para irrumpir en sitios bancarios ya que las sesiones se quedan sin tiempo rápidamente y cada autenticación requiere un nuevo código de 2FA.

Cuando los usuarios se encuentran con reglas más relajadas alrededor de los inicios de sesión, los ataques de phishing con técnicas de hombre en medio son más adecuados. Los hackers usan kits de phishing para redireccionar el tráfico entre un sitio de phishing, la víctima, y el servicio genuino. La facilidad de uso y el bajo costo de estos toolkits (en algunos casos gratuitos) ha generado que aumente su uso.

A pesar de la facilidad con la que es posible obtener los tokens de 2FA, es importante recalcar la adopción de esta tecnología. De acuerdo con encuestas realizadas por la empresa Ipsos/Google, el 73% de los americanos utiliza alguna forma de autenticación MFA. Sin embargo, los números por servicio individual cuentan otra historia: solo el 2.5% de las cuentas de Twitter utiliza por lo menos un método de 2FA (datos de junio 2021), y solo 16.5% de los usuarios activos de GitHub y 6.44% de los usuarios de npm han habilitado alguna forma de 2FA en sus cuentas.

¿Qué explica entonces este gran margen?

Una teoría es que los jugadores de videojuegos suben estas cifras ya que son incentivados a adoptar la tecnología MFA por medio de regalos virtuales.

Pero esta discrepancia existe incluso en el mundo empresarial. Reportes de ESG demuestran que un 58% de las empresas han adoptado el uso de MFA y un 23% categorizaron la tecnología como la más efectiva solución de identificación y acceso. Por su parte, Microsoft mostró en este año que solo el 22% de todas las cuentas de sus clientes en Azure Active Directory utilizan MFA.

En resumen, la tecnología MFA está siendo adoptada con mayor frecuencia, aunque lentamente y a pesar de que puede ser vulnerada, es de gran ayuda su implementación. Ningún sistema es 100% seguro y la seguridad es un trabajo continuo, debido a esto es importante mantenerse al día con los constantes cambios.

Referencias:
https://www.nist.gov/blogs/cybersecurity-insights/back-basics-whats-multi-factor-authentication-and-why-should-i-care
https://www.darkreading.com/edge-threat-monitor/passwords-actions-speak-louder-than-words
https://therecord.media/more-than-1200-phishing-toolkits-capable-of-intercepting-2fa-detected-in-the-wild/
https://www.secureauth.com/wp-content/uploads/2022/03/ESG-eBook-SecureAuth-Identity-MCS-March-2022.pdf
https://transparency.twitter.com/en/reports/account-security.html#2020-jul-dec
https://www.darkreading.com/dr-tech/github-to-developers-turn-on-2fa-or-lose-access