Qué es la fatiga de autenticación multifactor y cómo la aprovechan los cibermalos

Los atacantes envían notificaciones repetidas de MFA para engañar al usuario y que le dé a Aceptar sin querer por mero cansancio.

Guardar

Autenticación en dos pasos.
Autenticación en dos pasos.

Dicen que "quien la sigue la consigue" y, en el caso de los ciberdelincuentes, este dicho muchas veces es cierto. 

Los cibermalos están utilizando últimamente una técnica conocida como 'fatiga MFA', 'MFA push spam' o 'fatiga de autenticación multifactor', con resultados exitosos para ellos y desastrosos para los usuarios. 

Estos ataques ocurren cuando el atacante ejecuta una secuencia de comandos para iniciar sesión con credenciales robadas una y otra vez y envía frecuentes solicitudes de inserción de MFA al dispositivo del propietario de la cuenta.

Los MFA son esos números que se generan de manera única, se envían al teléfono del usuario y funcionan como un mecanismo de seguridad adicional a introducir la contraseña, huella, PIN, etc para acceder a un servicio online, plataforma o aplicación. 

Los piratas informáticos, conscientes de que esta herramienta de protección es cada vez más común, están tratando de agotar a las víctimas a base de saturarlas con dichos mensajes. 

Así, los hackers envían notificaciones repetidas de autenticación multifactor y se comunican mediante el email, apps de mensajería o telefono haciéndose pasar por un soporte de TI. Su objetivo es engañar al usuario para que acepte uno de estos avisos. 

Las víctimas están tan abrumadas por el constante flujo de estos mensajes que es posible que hagan click en el botón Aprobar o le den a aceptar una solicitud de MFA con la esperanza de detener el aluvión de notificaciones que reciben. 

Grupos que han usado esta técnica

Según se hace eco Cyware Social, la ventaja de este método es que no requiere de ningún tipo de infrestructura de malware o phising

Ya se conocen algunos grupos de hackers que han usado esta técnica en ataques a grandes compañías. Es el caso de Lapsus$, que recientemente pudo iniciar sesión con éxito en la cuenta de Uber usando credenciales obtenidas ilegalmente, las cuales podría haber conseguido mediante la dark web. Después, el colectivo atacó con la técnica de la fatiga MFA haciéndose pasar por soporte técnico a través de WhatsApp.

Otro seguidor de este método ha sido Yanluowang. El grupo - que atacó recientemente a Cisco- hizo lo propio a través de una cuenta de Google comprometida, llegando a mandar muchas solicitures de inserción para eludir la autencicación multifactor. 

Desde Cyware recomiendan a las empresas que deshabiliten las notificaciones MFA Push y habiliten las de coincidencia de númeos para mayor seguridad.