Aprovechar la fatiga como medio de persuasión es una técnica muy eficaz. Incluso los niños pequeños se aprovechan de ella y piden golosinas con insistencia hasta que un padre cansado acaba cediendo en busca de un breve respiro. Pero los niños no son los únicos que emplean esta táctica. ¿Cuántas veces hemos hecho una compra simplemente para deshacernos de un vendedor insistente?

La fatiga MFA es real

La fatiga no sólo funciona en estos escenarios cotidianos. También es un arma utilizada por los hackers y los ciberdelincuentes. Ellos saben que una forma eficaz de eludir las medidas de seguridad consiste simplemente en aprovecharse de la enervación humana. Imagine el siguiente escenario:

Está disfrutando de un partido de fútbol de su hijo o de una agradable cena y, de repente, su teléfono se llena de mensajes SMS de autenticación multifactor (MFA). Tras ignorarlos durante un rato, empieza a creer que puede haber un fallo en el sistema MFA. Para detener las incesantes notificaciones, acepta una de las solicitudes MFA. Quizá incluso reciba un correo electrónico de un supuesto representante del servicio técnico asegurándole que estas alertas MFA son auténticas. Aliviado, sigue con lo que estaba haciendo. A la mañana siguiente, descubre que alguien ha accedido a su cuenta.

Argumentos a favor de MFA

Hubo un tiempo en el que las contraseñas cumplían su función. Sin embargo, ese tiempo ya pasó. En la Dark Web, hay millones de credenciales comprometidas que fueron robadas inicialmente a través de brechas de datos. Gracias a los ejércitos de bots y a los procesadores informáticos ultrarrápidos, el descifrado de contraseñas se ha vuelto mucho más rápido. MFA refuerza el proceso de autenticación añadiendo al menos un factor de seguridad adicional ademásde obtener una contraseña. MFA requiere que el usuario posea algún dispositivo (como un móvil) que le permita recibir mensajes de texto o correos electrónicos de confirmación, así como un elemento biométrico (como una huella dactilar).

Aunque los hackers pudieran obtener su contraseña a través de intentos de phishing, keyloggers, ataques de diccionario y exfiltración de archivos de datos, también tendrían que conseguir acceso a su teléfono móvil o, al menos, ser capaces de manipular el proceso de MFA. Piense en MFA como una versión simplificada de una política de seguridad multicapa en la que varias herramientas trabajan conjuntamente para protegerle.

La historia de MFA

La tecnología MFA ha tardado en imponerse. Introducida a principios de la década de los 2000, a muchos usuarios les resultaba incómoda de utilizar con regularidad, mientras que las empresas la consideraban costosa y complicada. Líderes del sector, como Bill Gates en 2004, anticiparon la insuficiencia de la protección con una sola contraseña en una era cada vez más digital. En 2016, el presidente Barack Obama, en un artículo de opinión en el Wall Street Journal, animó a la gente a ir más allá de las contraseñas añadiendo una capa adicional de seguridad, como una huella dactilar o códigos enviados a un teléfono móvil.

MFA ha tenido una adopción progresiva. Al principio, las organizaciones obligaban a utilizarla a los usuarios con privilegios y al personal informático en los accesos desde fuera de sus instalaciones. Más tarde, se extendió al uso in situ. En Estados Unidos, el Consejo Federal de Examen de Instituciones Financieras (FFIEC), aconsejó en 2005, a las instituciones financieras, que adoptaran la MFA para las transacciones de alto riesgo a finales de 2006. Hoy en día, muchos proveedores de ciberseguros hacen de la MFA un prerrequisito para la cobertura de sus pólizas. Sin embargo, a pesar de su omnipresencia, las brechas de seguridad que la MFA podría haber evitado siguen apareciendo en los titulares.

MFA no es infalible

Hubo un tiempo en el que los usuarios depositaban toda su confianza en una contraseña como único elemento de protección de su vida digital. Hoy en día, muchos piensan lo mismo de la MFA. Aunque es innegable que la MFA proporciona una protección más sólida que una simple contraseña, también puede generar una falsa sensación de seguridad. Los actores de amenazas ya han ideado métodos para eludir la MFA. Según el Informe de Verizon sobre investigaciones de brechas de datos de 2023, el 74% de las brechas tienen un componente humano, y la MFA requiere la participación y la vigilancia humana para ser eficaz. Por ejemplo, algunas soluciones MFA permiten breves intervalos de desactivación para ayudar a los usuarios a evitar la repetición (y la fatiga) de completar constantemente el proceso MFA.

Es importante tener en cuenta que una vez que un atacante obtiene su contraseña, ya está a medio camino de la línea de meta. En el caso de una vulneración anterior, sus credenciales eran sólo un aspecto de su perfil de usuario que fue robado. Los hackers pueden utilizar esta información adicional para seguir avanzando. La MFA tiene una superficie de ataque como cualquier otro componente de su parque informático, y esa superficie es vulnerable a los ataques. Como todos los eslabones débiles, las organizaciones necesitan utilizar una defensa por capas para protegerse de la MFA resistente al phishing y de los métodos de ataque manipuladores.

Formas de mitigar la fatiga MFA

Para mitigar la fatiga MFA, las organizaciones pueden adoptar varias estrategias proactivas. Una de ellas consiste en que los administradores de seguridad limiten la frecuencia de las notificaciones MFA dentro de un periodo determinado; al fin y al cabo, un usuario legítimo no intentará iniciar sesión una y otra vez. También hay que enseñar a los usuarios a desconfiar de las notificaciones MFA no solicitadas. Dado que algunos métodos de MFA son más eficaces que otros, su equipo informático y de seguridad debería plantearse la posibilidad de sustituir las simples solicitudes de las notificaciones

En última instancia, el refuerzo de los sistemas MFA requiere un enfoque de seguridad multicapa, supervisado desde una plataforma unificada. De esta manera, un equipo especializado puede detectar de forma integral los primeros indicios de una intrusión. Para muchas pequeñas y medianas empresas que no disponen de una gran infraestructura de seguridad interna, subcontratar la ciberseguridad a un proveedor de centros de operaciones de seguridad (SOC) se ha convertido en algo esencial, porque a menudo las organizaciones de hackers tienen más recursos y experiencia que las empresas a las que atacan.

Supervisión estratégica

La supervisión estratégica permite detectar las señales de peligro en tiempo real, lo que permite a los equipos de seguridad adoptar medidas proactivas para limitar el radio de acción de un ataque y el impacto negativo en su empresa. También es una manera de garantizar que su organización siga cumpliendo todas las normativas obligatorias. La supervisión estratégica recopila, agrega y analiza datos para encontrar correlaciones entre innumerables sucesos que, a primera vista, pueden parecer inconexos. Entre esas señales se incluyen un número anormal de inicios de sesión fallidos para una o más cuentas de usuario o el uso indebido de una cuenta privilegiada. Implantar internamente un sistema de supervisión estratégico puede ser todo un reto, sobre todo para las PYMES, una razón más por la que los SOC externos se están volviendo tan populares hoy en día.

Conclusión

Los controles de seguridad son vulnerables porque, en última instancia, dependen de la intervención y el criterio de los seres humanos. Este factor humano se convierte a menudo en el talón de Aquiles, por lo que la supervisión constante es esencial para adelantarse a las posibles amenazas. Afortunadamente, las soluciones avanzadas de detección y respuesta de puntos finales (EDR) y la supervisión estratégica 24/7 están al alcance de organizaciones de casi todos los tamaños hoy en día, ayudando a identificar, correlacionar y remediar las amenazas antes de que puedan afectar a sus operaciones.