La MFA (autenticación multifactorial por sus siglas en inglés) es una de las defensas más eficaces para evitar la apropiación de cuentas. Además de requerir que los usuarios proporcionen un nombre de usuario y una contraseña, la MFA garantiza que también deben utilizar un factor adicional (ya sea una huella dactilar, una llave de seguridad física o una contraseña de un solo uso) antes de poder acceder a una cuenta.
Dicho esto, algunas formas de MFA son más fuertes que otras, y los acontecimientos recientes demuestran que estas formas más débiles no son un gran obstáculo para algunos hackers. En los últimos meses, presuntos "script kiddies" como la banda de extorsión de datos Lapsus$ y actores de élite de la amenaza estatal Rusa (como Cozy Bear, el grupo que está detrás del hackeo de SolarWinds) han vencido con éxito la protección.
Las formas más potentes de MFA se basan en un marco llamado FIDO2, desarrollado por un consorcio de empresas que equilibra las necesidades de seguridad y simplicidad de uso. Ofrece a los usuarios la opción de utilizar lectores de huellas dactilares o cámaras integradas en los dispositivos o claves de seguridad dedicadas para confirmar que están autorizados a acceder a una cuenta. Las formas de MFA de FIDO2 son relativamente nuevas, por lo que muchos servicios, tanto para consumidores como para grandes organizaciones, aún no las han adoptado.
Ahí es donde entran las formas más antiguas y débiles de MFA. Entre ellas se encuentran las contraseñas de un solo uso enviadas a través de SMS o generadas por aplicaciones móviles como El Autenticador de Google o los avisos de tipo "push" enviados a un dispositivo móvil. Cuando alguien se conecta con una contraseña válida, también debe introducir la contraseña de un solo uso en un campo de la pantalla de inicio de sesión o pulsar un botón que aparece en la pantalla de su teléfono.
Es esta última forma de autenticación la que, según informes recientes, se está eludiendo. Un grupo que utiliza esta técnica, según la empresa de seguridad Mandiant, es Cozy Bear, una banda de hackers de élite que trabaja para el Servicio de Inteligencia Exterior de Rusia. El grupo también se conoce con los nombres de Nobelium, APT29 y los Dukes.
"Muchos proveedores de MFA permiten que los usuarios acepten una notificación push de una aplicación telefónica o que reciban una llamada telefónica y pulsen una tecla como segundo factor", indicaron los investigadores de Mandiant la empresa estadounidense de ciberseguridad. "El actor de la amenaza Nobelium se aprovechó de esto y emitió múltiples solicitudes de MFA al dispositivo legítimo del usuario final hasta que el usuario aceptó la autenticación, lo que permitió al actor de la amenaza obtener finalmente el acceso a la cuenta."
Lapsus$, la banda de hackers que ha vulnerado Microsoft, Okta y Nvidia en los últimos meses, también ha utilizado esta técnica.
"No hay límite en la cantidad de llamadas que se pueden hacer", escribió un miembro de Lapsus$ en el canal oficial del grupo en Telegram. "Llama al empleado 100 veces a la 1 de la madrugada mientras intenta dormir, y es más que probable que la acepte. Una vez que el empleado acepte la llamada inicial, puedes acceder al portal de inscripción de MFA e inscribir otro dispositivo."
El miembro de Lapsus$ afirmó que la técnica de bombardeo de solicitudes MFA fue efectiva contra Microsoft, que a principios de esta semana dijo que el grupo de hackers pudo acceder al portátil de uno de sus empleados.
"¡Incluso Microsoft!", escribió la persona. "Fui capaz de iniciar sesión en la VPN de Microsoft de un empleado desde Alemania y Estados Unidos al mismo tiempo y ni siquiera parecieron darse cuenta. También pude reinscribir MFA dos veces".
Mike Grover, un vendedor de herramientas de hacking para profesionales de la seguridad y consultor de equipos rojos que se hace llamar MG en Twitter, dijo que la técnica es "fundamentalmente un único método que adopta muchas formas: engañar al usuario para que reconozca una solicitud de MFA". El "bombardeo de MFA" se ha convertido rápidamente en un descriptor, pero esto pasa por alto los métodos más sigilosos".
Los métodos incluyen:
Enviar un montón de solicitudes MFA y esperar que el objetivo finalmente acepte una para que cese el ruido.
Enviar una o dos solicitudes al día. Este método suele llamar menos la atención, pero "sigue habiendo muchas posibilidades de que el objetivo acepte la solicitud MFA".
Llamar al objetivo, fingir ser parte de la empresa y decirle que tiene que enviar una solicitud MFA como parte de un proceso de la empresa. "Esos son sólo algunos ejemplos", dijo Grover, pero es importante saber que el bombardeo masivo NO es la única forma que adopta esto".
En un hilo de Twitter, escribió: "Los equipos rojos han estado jugando con variantes de esto durante años. Ha ayudado a las empresas que tienen la suerte de tener un equipo rojo. Pero los atacantes del mundo real están avanzando en esto más rápido de lo que ha mejorado la postura colectiva de la mayoría de las empresas."
Otros investigadores se apresuraron a señalar que la técnica de solicitud de MFA no es nueva.
"Lapsus$ no inventó el 'bombardeo de la solicitud MFA'", tuiteó Greg Linares, un profesional del equipo rojo. "Por favor, dejen de atribuirles el mérito de haberlo creado. Este vector de ataque ha sido una cosa usada en ataques del mundo real 2 años antes de que lapsus$ fuera una cosa."