El MFA o 2FA no es perfecto, pero tú y tu empresa lo deberíais estar utilizando

El MFA o 2FA no es perfecto, pero tú y tu empresa lo deberíais estar utilizando

Cuando los usuarios domésticos o corporativos realizan consultas sobre pasos fáciles con los que puedan mejorar la seguridad de sus cuentas, siempre hay uno que sobresale: activa la autenticación multifactor.

Lo que se conoce con las siglas MFA (Multifactor Authentication) o más comúmente 2FA (2 Factor Authentication) es una capa adicional de seguridad para tus cuentas de usuario, de tal forma que si alguien consigue tu contraseña no pueda inmediatamente obtener acceso a tu cuenta.

¿Cómo me protege el MFA o 2FA?

La explicación es simple. Una combinación cualquiera de nombre de usuario y contraseña no será suficiente para entrar a tu cuenta, sino que se requrerirá un código temporal generado por un app, o por una entidad externa que enviará los códigos vía SMS o llamada, entre otros  métodos.

La autenticación multifactor es una gran forma de mejorar tu seguridad frente a algunos de los ataques más comunes que existen.

Las cuentas de Google, por ejemplo, pueden ser protegidas mediante una llave física conocida como FIDO que certificará que somos nosotros quienes intentamos acceder.

Eso sí, no es una tecnología infalible. Normalmente los problemas vienen de la forma en que se ha implementado. Como ejemplo, En Noviembre de 2018 usuarios de Office 365 y Azure dejaron de poder acceder a sus cuentas de negocio en la nube tras una «pifia» de Microsoft.

A pesar de todo, el 2FA no es perfecto

Las tecnologías como MFA están destinadas a impedir a los malos que entren en tu cuenta, no a tí como usuario acceder a la misma. Afortunadamente, estos problemas son contados.

Hace poco el FBI comenzó a alertar a los partenrs tecnológicos de algunos mecanismos que están permitiendo a los atacantes burlar la seguridad de MFA, algunas organizaciones aquí recogidas ya han sufrido las consecuencias.

En estos casos se han vaciado cuentas bancarias de usuarios a consecuencia de que los atacantes hayan conseguido engañar mediante phishing, primero, a las empresas de telecomunicaciones responsables de la entrega de los códigos, para después comprometer el dispositivo y la cuenta.

Entre los métodos que podrían permitir a los ciberdelincuentes tumbar una solución MFA tenemos los siguientes:

  • SIM swap / SIM hijacking (intercambio de tarjetas SIM)
  • Nuevas herramientas como Muraena o NecroBrowser
  • Herramientas como Modlishka aparecidas en 2019

En el caso de Modlishka, la herramienta permite un ataque man-in-the-middle que recoge el contenido de la web legítima que quiere suplantar, obteniendo una réplica exacta.

Luego podrá quedarse a placer con nombres de usuario, contraseñas y otra información sensible, como los códigos MFA. 

Pero deberías usarlo

Lo primero que extraemos es que, como ya recomiendan, evitemos siempre que sea posible usar códigos entregados mediante SMS. Por supuesto es super importante estar prevenidos y no caer en el Phishing.

Además, siempre que sea posible deberemos usar más de un método de verificación adicional.

Sin embargo, como el propio FBI informa en sus comunicados, es la mejor arma para luchar contra el robo de identidad actualmente:

La autenticación multifactor sigue siendo una medida de seguridad fuerte y efectiva para proteger tus cuentas en linea, en tanto en cuanto los usuarios tomen las precauciones para asegurarse de que no caen en ataques de ingeniería social.

Más información: Autenticación en dos factores vs autenticación en dos pasos

Autor: Alejandro Sánchez

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.