Phishing
Es el ataque dirigido a usuarios por excelencia. En esta “variante” enfocada a sustraer en tiempo real el MFA, el atacante simula una página web conocida, y al introducir nuestras credenciales y código MFA, ambos son capturados por herramientas de hacking.
¿Qué podemos hacer como usuarios?
- Nunca hagáis clic en enlaces enviados por remitentes desconocidos o sospechosos.
- Siempre es recomendable acceder desde la web oficial a los recursos que necesitamos.
- Desconfiad de los mensajes de urgencia. Los phishing siempre tratan de crear urgencia en el usuario, sea con una multa de tráfico, un inicio falso de sesión que tenemos que bloquear… Ante el phishing, prima siempre la tranquilidad y el juicio del usuario, ante la duda verifiquemos siempre 2 veces la URL del sitio.
MFA por persistencia
Este ataque consiste en enviar repetidas notificaciones push de inicio de sesión a la aplicación de MFA del usuario, y bien por error o por fatiga acaba aceptándola, sin realmente evaluar si esa solicitud había sido solicitada por él o no.
¿Qué podemos hacer como usuarios?
- Comprobad siempre si se ha solicitado el acceso. ¿Hemos mandado recientemente una solicitud de acceso que requiera 2FA?
- Siempre evaluad la IP desde la que se está recibiendo esta solicitud. ¿Corresponde con la nuestra?
- Es recomendable cambiar la contraseña en estos casos.
Intercambio de SIM o SIM swapping
En este caso, los atacantes consiguen convencer a la operadora de telefonía de cambiar la SIM asociada a nuestro segundo factor de autenticación en SMS, y con esto consiguen acceso a todos los MFA que recibamos a través de ese medio.
¿Qué podemos hacer como usuarios?
Evitar a toda costa el MFA por SMS. Actualmente, la mayoría de los proveedores permiten la configuración de otros factores de autenticación.
Reconfiguración del MFA a través de preguntas de seguridad débiles
Este último ataque se basa en lo que conocemos como “ingeniería social”. Publicamos información personal en redes sociales, muchas veces sin darnos cuenta quien tiene acceso a ella. En este caso, el atacante podrá recopilar nuestra información personal y responder de manera correcta a las preguntas de seguridad para restablecer el MFA.
¿Qué podemos hacer como usuarios?
- Una de las principales recomendaciones siempre será seleccionar otro método de recuperación, que no dependa de preguntas personales.
- Si no es posible, debemos hacer respuestas más difíciles, que no sean deducibles con nuestra información pública.
El segundo factor de autenticación sigue siendo uno de los principales pasos para proteger nuestras cuentas, pero como hemos podido ver a lo largo del artículo, no es el único. Como usuarios, tenemos la responsabilidad de estar atentos a los diferentes tipos de engaños que podemos sufrir.
Hemos visto que muchos de los ataques contra el MFA no se basan en estrictamente la tecnología, sino también en errores humanos. Un segundo factor mal gestionado puede darnos una falsa sensación de seguridad, y mantenernos expuestos.
