2022-11-10MFA o autenticación multifactor: Claves para evitar un ciberataque
Blogthinkbig |La autenticación multifactor MFA es lo mínimo que debes hacer si quieres proteger tus cuentas. Aunque es un sistema más seguro que las contraseñas, recientemente ha quedado en evidencia que también es vulnerable a ciberataques. A continuación, descubre cómo evitarlos.¿Qué es la autenticación multifactor?
Según Microsoft, la autenticación multifactor (MFA) es una capa de protección que se emplea en el proceso de iniciar sesión. Por ejemplo, cuando el usuario accede a su cuenta, además de escribir su contraseña, debe pasar por una verificación de su identidad. Usualmente, consiste en escanear la huella digital o especificar un código.
El MFA es más seguro que una contraseña, sin importar qué tan larga o compleja sea esta. Sin embargo, algunos tipos de autenticación multifactor son más seguros que otros. En este sentido, cabe la posibilidad de que sean vulnerables a ataques, según el tipo de credencial.
Las credenciales más sensibles a los ataques cibernéticos son los números PIN y las aprobaciones simples de identidad. Las más efectivas son los códigos de acceso de un solo uso basados en el tiempo, los tókenes TOTP de software OATH, las tarjetas inteligentes o las aplicaciones como Microsoft Authenticator.
¿Cómo son los ataques a la MFA?
De acuerdo a Cagnoni, los ataques se denominan bombardeo por Autenticación Multifactor (MFA Prompt Bombing). Se trata de una técnica en la que los hackers se hacen pasar por una compañía cuyo software tiene un sistema MFA. De esta manera, los usuarios se identifican y comparten sus credenciales.
Pues bien, a través de un bombardeo de notificaciones push, el programa se hace pasar por un sistema de autentificación. Una vez que el usuario engañado comparte sus credenciales, los ciberatacantes tienen acceso a sus cuentas.
Por lo general, la técnica opera de las siguientes maneras:
- El usuario recibe una petición online para comprobar su identificación. Esta falsa solicitud suele estar acompañada por un aviso de urgencia para proporcionar la credencial con el fin de mantener el acceso.
- El usuario recibe una llamada telefónica de un supuesto agente. El hacker se hace pasar por algún empleado de la compañía y solicita credenciales para proceder con la autentificación.
Cabe señalar que los ataques de autenticación multifactor alcanzaron mayor renombre con el caso Lapsus. De acuerdo a Saran, se trata de un grupo que ha llevado a cabo una campaña de extorsión en Reino Unido y América del Sur. Entre las tácticas que usa se encuentra el envío de spam a un usuario con el fin de conseguir la aprobación de la autenticación multifactor.
Imagen de Brand Factory
4 recomendaciones para evitar ataques por bombardeo de MFA
Cagnoni comparte algunas recomendaciones para evitar este tipo de ataques. A continuación, te presentamos las más importantes:
- La desconfianza y la formación en ciberseguridad deben ser la primera línea de defensa de los usuarios. Hay que tener en cuenta que la autenticación multifactor corresponde al proceso de inicio de sesión en una cuenta. Por tanto, el usuario debe desconfiar de cualquier intento de obtener esta credencial sin antes haber solicitado el ingreso.
- Las solicitudes que provengan de ubicaciones desconocidas deben ser rechazadas inmediatamente. Las llamadas telefónicas y otras notificaciones suelen ser canales para los fraudes.
- La comunicación de eventos sospechosos debe hacerse de manera pronta y oportuna. Antes de considerar proporcionar cualquier dato, se debe informar a los responsables de IT de la compañía.
- Los sistemas de solución avanzada en protección y gestión de identidades también son recomendables. Estos pueden bloquear las notificaciones emitidas y recibidas. Además, son capaces de monitorear cualquier incidencia.
La tecnología siempre es una gran aliada en todo tipo de procesos. Sin embargo, es necesario mantenernos informados y alerta para cuidar nuestra seguridad. Infórmate sobre la MFA de tus cuentas online y sigue estas recomendaciones para evitar los ciberataques.
Moncho Terol
El futuro lo escribimos todos juntos. Me gustan las redes y la conectividad.
El blog de innovación de Telefónica
2023-03-27
Una nueva terapia combinada para el tratamiento de infecciones bacterianas resistentes a la vancomicina
Desarrollada en SMART, la terapia estimula el sistema inmunitario del huésped para eliminar infecciones bacterianas de manera más eficaz y acelerar la cicatrización de heridas infectadas.
2023-03-27
Diseñan una mano robótica para una interacción más amigable entre humano y robot
ManoPla es un dispositivo mecatrónico para la comunicación gestual, concebido por investigadores de la Universidad Politécnica de Madrid, en el que todos sus componentes están integrados y tienen funcionalidad. Los resultados del trabajo fueron publicados en la revista International Journal of Social Robotics.
2023-03-27
Whisper: optimiza el tiempo a la hora de hacer una transcripción
Como ya hemos visto, la inteligencia artificial (IA) está impactando de forma contundente en distintos escenarios. Esta vez hablaremos de Whisper, una de las mejores herramientas para convertir archivos de audio en texto que se sirve de esta innovación tecnológica.
2023-03-24
Cómo va a influir el Metaverso y Web 3 en nuestra rutina
Los dispositivos de realidad extendida (XR) cada vez son un elemento más común en los hogares. Los analistas estiman que entre 2022 y 2023 se pueden llegar a vender más de 40 millones de dispositivos XR en todo el mundo, una cifra que mencionó Dani Hernández en su ponencia del MWC23 y que demuestra el gran potencial de este mercado.
2023-03-24
IA para encontrar trabajo: formas en las que puedes usar Chat GPT
La inteligencia artificial (IA) hoy en día brinda confort a las personas y sostenibilidad a las ciudades. Forma parte de casas y ciudades inteligentes, coches, ciberseguridad, entre otros. En esta ocasión queremos mostrarte la utilidad de la IA para encontrar trabajo.
2023-03-24
Bit2Me, la startup tecnológica más activa del 4YFN
La última edición del Mobile World Congress – 4YFN ha servido para que el principal exchange de criptoactivos en España explique su caso de éxito. Asimismo, ha participado en múltiples mesas redondas y charlas de la mano de Wayra, Caixabank y otras startups y fondos de capital riesgo de referencia del sector. Principalmente se habló sobre cómo Web3 puede ayudar a corporaciones, emprendedores e instituciones a crear valor para sus negocios.
