Un nuevo análisis técnico de Cisco Talos revela que los sistemas de autenticación de doble factor (MFA), considerados hasta hace poco el estándar de oro de la seguridad, están bajo un asalto sistemático mediante tácticas de "adversario en el medio" y fatiga de notificaciones.
Por: MSB
Durante años, la recomendación de los expertos fue sencilla: "activa el MFA y estarás a salvo". Sin embargo, el último informe de Cisco Talos describe un cambio de paradigma alarmante. Los atacantes ya no intentan adivinar contraseñas; ahora están diseñando infraestructuras para interceptar los tokens de seguridad en tiempo real y engañar a los usuarios para que les abran la puerta.
La técnica AiTM: El espejo deformanteEl informe destaca el auge de los ataques de Adversario en el Medio (AiTM). A diferencia del phishing tradicional, donde se busca una contraseña, en el AiTM el atacante despliega un servidor proxy entre el usuario y el servicio real (como Microsoft 365).
Cuando el usuario introduce sus credenciales y su código MFA en la página falsa, el atacante las reenvía al sitio legítimo al instante. El resultado es el robo del token de sesión. Con este token, el criminal puede entrar directamente en la cuenta sin necesidad de volver a pedir la contraseña ni el segundo factor, saltándose por completo la protección.
"Fatiga de MFA": El agotamiento como armaOtra táctica que está ganando tracción es el MFA Bombing o fatiga de notificaciones. Aprovechando que muchas empresas utilizan notificaciones push en el móvil, los atacantes lanzan cientos de solicitudes de acceso seguidas.
El objetivo es desesperar al usuario o pillarlo desprevenido para que, por error o por simple cansancio para silenciar el teléfono, pulse "Aceptar". Una vez que se concede el acceso, el atacante suele registrar un nuevo dispositivo propio en la cuenta de la víctima para asegurar su persistencia.
Los puntos ciegos de la infraestructuraTalos identifica tres debilidades críticas que los grupos de ciberdelincuencia están explotando con éxito:
Protocolos heredados: El uso de protocolos antiguos (como POP3 o IMAP) que no soportan MFA y permiten a los atacantes acceder a buzones de correo mediante ataques de fuerza bruta.
Falta de contexto: Notificaciones de MFA que solo dicen "Aceptar/Denegar" sin mostrar la ubicación geográfica o la aplicación que solicita el acceso.
Configuraciones incompletas: Empresas que protegen el correo electrónico pero olvidan activar el MFA en las VPNs o en las herramientas de administración en la nube.
Cisco Talos advierte que no todos los MFA son iguales. Para combatir estas amenazas, las organizaciones deben evolucionar hacia métodos más robustos:
Implementar FIDO2 y claves físicas: El uso de llaves de seguridad de hardware (como YubiKeys) es, hoy por hoy, el único método resistente a los ataques de tipo AiTM.
Coincidencia de números (Number Matching): Obligar al usuario a introducir en su móvil un número que aparece en la pantalla de inicio de sesión, eliminando la posibilidad de aceptar una notificación por error.
Políticas de acceso condicional: Restringir los inicios de sesión basándose en la ubicación del usuario, la salud del dispositivo y si la dirección IP es conocida.
"Las credenciales son las llaves del reino", afirma el informe. En un entorno donde el trabajo remoto y la nube son la norma, el perímetro de seguridad ya no es la oficina, sino la identidad del empleado. El mensaje de Talos es claro: el MFA sigue siendo esencial, pero ya no es una solución de "configurar y olvidar". La defensa debe ser tan dinámica como el ingenio de quienes intentan vulnerarla.