No todos los sistemas de autenticación multifactor son iguales, las contraseñas de un sólo uso enviadas por sms o generadas por Google Authenticator han demostrado ser vulnerables. Cozy Bear, el apt ruso detrás de los ataques a SolarWinds, estaría usando un viejo método para atacar estos sistemas. El mismo método habría empleado el grupo Lapsus$ en su reciente ataque a Microsoft.
Los sistemas tradicionales de autenticación se basan en la aceptación por parte del usuario de una llamada o notificación push en su dispositivo. Los atacantes aprovechan este funcionamiento bombardeando al usuario con llamadas y notificaciones. Así consiguen que se confirme el segundo factor, facilitando el acceso a su cuenta.
También han sido efectivas contra los sistemas multifactor técnicas de ingeniería social. Llamar al objetivo indicando que debía aceptar la notificación porque era parte de un test de la propia empresa. Enviar una o dos veces al día las notificaciones ha sido otro tipo de ataque efectivo, puesto que un usuario despistado podría aceptar el factor sin prestarle mayor atención.
FIDO2
Una respuesta a estos problemas parece ser la que propone FIDO2. Esta solución ha sido desarrollada por un consorcio de empresas para aunar seguridad y simplicidad de uso. A diferencia de los sistemas tradicionales, para acceder al servicio que requiere el segundo factor de autenticación es necesario que dicho acceso se realice desde el mismo dispositivo en el que se confirma dicho factor.
Este sistema haría inefectivos los ataques que se han mencionado previamente. En este caso para poder burlar el sistema de autenticación de doble factor, el atacante necesita tener acceso total al dispositivo del objetivo. En cualquier caso, una vez comprometida la víctima hasta ese punto, la implementación que haga de los factores de autenticación es, casi, la menor de las preocupaciones.
Más información:
https://unaaldia.hispasec.com/2022/03/lapsuss-roba-codigo-fuente-de-microsoft.html
https://unaaldia.hispasec.com/2020/12/solarwinds-sufre-un-ataque-de-cadena-de-suministro.html
https://attack.mitre.org/groups/G0016/
Es cierto que si la validación 2FA se debe realizar desde el mismo dispositivo que realiza la conexión, estamos más protegidos de un atacante remoto.
Sin embargo si nos roban el movil estamos perdidos, porque el mismo dispositivo se utilizar para entrar en la cuenta del banco y luego para validar el segundo factor.