No, no todos los MFA son vulnerables a los bombardeos rápidos

¿Has oído hablar de MFA prompt bombing? Es el tema de moda en el mundo de la ciberseguridad. Esta técnica fue utilizada recientemente contra Uber por el conocido grupo de hackers "Lapsus$".

Y Uber está lejos de ser un caso aislado. Los ciberdelincuentes de hoy en día no dejan de innovar aprovechando los más mínimos resquicios del mundo digital. Son capaces de eludir ciertos sistemas de autenticación fuerte (2FA ) que proporcionan una capa adicional de seguridad a las cuentas de los usuarios, pero que es ampliamente insuficiente para la complejidad de los ataques actuales.

La fatiga del MFA y el bombardeo rápido

La Identity Defined Security Alliance (IDSA) ha publicado recientemente un informe sobre las tendencias para asegurar las identidades digitales en 2022. De los 500 profesionales de TI encuestados, el 84% dijo que su organización había sufrido un robo de identidad en el último año¹. Esto supone un aumento de 5 puntos en comparación con el informe del año anterior.

Ante estas amenazas, es más que imprescindible concienciar a empleados y clientes sobre las buenas prácticas y reforzar las infraestructuras de seguridad existentes.

¿Cómo funciona el bombardeo rápido?

Los ataques de bombardeo rápido utilizan la autenticación multifactor (MFA) para bombardear a los usuarios con notificaciones push y hackear sus cuentas. Intencionadamente o no, algunos acaban aceptando solicitudes iniciadas por hackers.

Para acceder a los datos de sus objetivos, los hackers obtienen ilegalmente credenciales válidas. Durante el intento de inicio de sesión, confían en que el usuario validará la autenticación al ser "bombardeado" con peticiones. El término "MFA Fatiga" se utiliza para describir el cansancio de los usuarios ante estas innumerables notificaciones.

Parece trivial, pero ha funcionado con Uber. El atacante utilizó los datos de acceso de un empleado y los aprovechó para enviarle agresivamente notificaciones push. Incluso, antes de aprobar la transacción en cuestión, el usuario fue contactado por WhatsApp por un supuesto miembro del equipo informático de su empresa, pidiéndole que aceptara la notificación para que dejara de hacerlo. Es una forma de ingeniería social.

Un bombardeo rápido exitoso puede ofrecer a los hackers la oportunidad de añadir su dispositivo a la cuenta hackeada y eliminar el acceso del usuario original. Dependiendo de los permisos de la víctima dentro de la organización, los hackers pueden acceder y explotar datos y recursos confidenciales.

Lucha contra los bombardeos rápidos con MFA inWebo

Los ataques modernos requieren el uso de métodos de defensa modernos. Estas son las diferentes soluciones propuestas por inWebo para contrarrestar los bombardeos rápidos:

Configurar el servicio para mayor seguridad

inWebo proporciona un nivel adicional de seguridad a través de sus opciones de configuración. Por ejemplo, es posible hacer obligatorio el código PIN y no permitir la biometría móvil, lo que fomenta la aceptación involuntaria o habitual.

Configurar mi herramienta
Sólo tiene que ir a la sección "Parámetros de servicio" de su herramienta de administración. Aquí puede elegir autenticarse con o sin PIN y desactivar el campo "Autenticación con biometría permitida". Nota: cuando el PIN está desactivado, no se puede permitir la autenticación biométrica.
Configuración de la herramienta de administración de inWebo

Inscribir los navegadores de sus usuarios

La solución inWebo Browser token permite el registro de navegadores web y móviles. Esto certifica que el intento de conexión proviene de un navegador de confianza, es decir, de un dispositivo listado por la empresa. Es posible hacerla obligatoria para aumentar significativamente la seguridad de las conexiones. Este sistema responde tanto a un bombardeo rápido como aposibles ataques de servicio de phishing Evil Proxy.

¿Desea inscribir su navegador?

Descubra cómo añadir un usuario a su plataforma y permitirle autenticarse de forma segura. Active su cuenta siguiendo los procedimientos indicados en la invitación por correo electrónico. Registre su navegador de confianza activando y configurando su PIN y su frase antiphishing. Añade tu teléfono móvil o realiza los trámites directamente en tu navegador.

Desactivar las notificaciones push

El sistema de autenticación multifactor de inWebo permite desactivar las notificaciones push y dejar que el usuario vaya por sí mismo a la zona de validación de los intentos de conexión. Asegurando la protección de usuario ante los ataques de bombardeo rápido.

Generar una contraseña de un solo uso (OTP)

Los métodos descritos anteriormente pueden ser aún más eficaces con la "contraseña de un solo uso" de inWebo (OTP). Este sistema requiere que el usuario genere una contraseña de un solo uso en su teléfono móvil. Este OTP debe ser introducido en el navegador de confianza. Sin ninguna solicitud externa, la conexión a los datos más sensibles está protegida al más alto nivel al pasar por una cadena de dispositivos certificados.

Portal de autenticación
Generar un OTP
Utilice la dirección OTP para iniciar la sesión
¿Cómo generar un OTP con inWebo?

Para ello, sólo tiene que ir al portal de autenticación de su organización y seleccionar "Mostrarme otras opciones". Se le pedirá su nombre de usuario y OTP . Vaya a su aplicación móvil y haga clic en "Generar un OTP". A continuación, se le dará una contraseña de un solo uso, que expirará automáticamente después de 30 segundos. Introduzca esta contraseña en su navegador para validar su autentificación.

Todavía queda camino por recorrer antes de que los sistemas MFA sean totalmente resistentes a los bombardeos rápidos de notificaciones push. Dicho esto, como demuestra la solución de autenticación inWebo MFA, ya hay muchas maneras de combatir la diversidad técnica y social de los ciberataques, siempre que se tenga cuidado en la elección de las herramientas utilizadas y en las políticas de seguridad establecidas. No todas las soluciones MFA son iguales y la 2FA no es tan fuerte como MFA.

Sensibilizar y formar a los usuarios en las buenas prácticas

La aplicación de estos mecanismos de seguridad no son suficientes. Ahora es necesario concienciar a los usuarios de los peligros de los ataques rápidos con bombas y enseñarles a adoptar un comportamiento adecuado. Estas acciones preventivas facilitan la identificación de solicitudes de autenticación sospechosas y promueven una reacción en consecuencia.

Por ejemplo, algunos clientes de inWebo han lanzado campañas basadas en la capacidad de nuestra API para enviar notificaciones push. Con un simple script, los administradores simulan ataques de bombardeo rápido a todos o parte de los usuarios de la solución. De este modo, pueden detectar qué usuarios denuncian el ataque o, por el contrario, qué usuarios ceden ante él. Esto permite orientar y adaptar los mensajes de sensibilización a la madurez tecnológica de los distintos públicos.

Refuerce su infraestructura de seguridad con inWebo Browser Token

Este año, el 82% de las filtraciones de datos se debieron a un factor humano². Estos son los resultados del informe de Verizon sobre investigaciones de violaciones de datos de 2022. El estudio, basado en 23.000 incidentes y 5.200 infracciones confirmadas en todo el mundo, destaca la importancia de los programas de concienciación. El caso de Uber coincide con los resultados de esta encuesta.

Aunque las infraestructuras de seguridad existentes ofrecen una barrera real de protección, también pueden crear fricciones y alterar la experiencia del usuario. Los métodos modernos de autenticación multifactorial recomiendan ahora el uso de claves de seguridad FIDO2. El acoplamiento de estas llaves de hardware con la tecnología inWebo Browser Token ayuda a combatir tanto el phishing como el bombardeo rápido de notificaciones push.
¿Cómo funciona el bombardeo rápido?
Los ataques de push bombing (o bombardeo rápido) utilizan las lagunas de los sistemas de MFA para bombardear a los usuarios con notificaciones push y hackear sus cuentas. Algunos hackers, como en el caso de Uber, incluso se ponen en contacto con sus víctimas por WhatsApp para convencerlas de que acepten estas solicitudes de autenticación.
¿Qué es la fatiga de MFA ?

La Fatiga MFA se caracteriza por el cansancio de los usuarios ante las innumerables notificaciones push que reciben durante un intento de bombardeo de la red MFA .

¿Qué es la autenticación multifactor (MFA)?

La autenticación multifactor (MFA), o autenticación fuerte, es un proceso de seguridad que requiere dos o más factores de verificación para probar la identidad de un usuario. En la mayoría de los casos, se trata de iniciar sesión en una red, aplicación u otro recurso sin depender de una simple combinación de ID + contraseña.

Autenticación fuerte MFA sin compromiso

Póngase en contacto con nosotros para una demostración o para solicitar su cuenta de prueba

Nivel de seguridad muy alto

inWebo MFA dispone de la tecnología única y patentada de claves aleatorias dinámicas que le permite ofrecer el mayor nivel de seguridad del mercado. Solución certificada por la ANSSI.

Fácil integración y despliegue

Accesible como SaaS, rico en conectores, APIs y SDKs, inWebo MFA se adapta a sus limitaciones técnicas, sin imponer otras nuevas. Desplegar un MFA rápidamente y a gran escala, sin contacto humano y sin logística.

Experiencia de usuario sin contraseña y sin dispositivos

inWebo le permite ofrecer una experiencia de usuario simplificada, extendida a todas las dimensiones de la autenticación, desde la inscripción hasta el inicio de sesión, gracias a sus tokens universales, sin contraseña y sin dispositivo.

Reciba las últimas noticias sobre autenticación fuerte

Nuestras últimas noticias

Solicite una demostración