La autenticación multifactor (MFA) es el estándar de oro en las oficinas de todo el mundo. Todos conocemos el truco: utiliza su nombre de usuario (a menudo, y desaconsejablemente, su dirección de correo electrónico) y, tal vez, como contraseña, el nombre de su primer perro y los últimos cuatro dígitos de su número de seguro social.

No es muy infalible, pero a menudo el usuario no está demasiado preocupado. En su mente, saben que si el pirata informático descubre sus credenciales de inicio de sesión utilizando varias herramientas o técnicas, aún debe encontrar la forma de sortear la segunda capa de seguridad de MFA.

Cuidado con el “push bombing”

Sin embargo, es posible que el usuario no se dé cuenta de que los piratas informáticos han desarrollado muchos métodos comprobados para lograrlo, incluidos los ataques de ingeniería social, el phishing selectivo y los ataques DDoS. Y hay otra herramienta favorita que los piratas informáticos tienen a su disposición, y se basa en que los usuarios estén lo suficientemente cansados, agotados o molestos como para "ceder". ¿Y quién no está fatigado o agotado en el sprint final para terminar el cuarto trimestre y los regalos navideños? La técnica que a los piratas informáticos les gusta emplear en esta época del año se llama "bombardeo de empuje".

La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) describe el bombardeo automático como una situación en la que el usuario es bombardeado con notificaciones automáticas hasta que presiona el botón "aceptar".

“Es una herramienta sorprendentemente efectiva, aunque es de muy baja tecnología y se basa en la fuerza bruta”, dice Sandy Duncan, experta en seguridad cibernética en Cincinnati, Ohio. Duncan agrega que los piratas informáticos se aprovechan de varios factores cuando utilizan una campaña de bombardeo automático.

“El mayor atractivo de los bombardeos de empuje es que son baratos, y si eliges la hora del día menos conveniente para lanzar un ataque de este tipo, tus probabilidades de éxito son mayores”, explica Duncan. Duncan señala que estos son algunos de los momentos específicos del día a los que les gusta apuntar a los bombarderos:

• Comienzo de la jornada laboral: "No hay mayor molestia que querer comenzar su jornada laboral y tener que pasar por un montón de indicaciones", señala Duncan.
• Justo antes del almuerzo: "¿Quién no quiere terminar su trabajo e irse a almorzar?" pregunta Duncan.
• Media noche: “Lo creas o no, esto es efectivo”, dice Duncan. “Algunas personas, incluido el personal esencial y otros, revisan el correo electrónico o inician sesión por la noche, y luego están aquellos que simplemente quieren registrarse y luego volver a dormir. Si reciben un montón de indicaciones, es posible que se sientan tentados a ceder para poder volver a dormir”.

Impida los ataques con el entrenamiento adecuado y técnicas preventivas.

La herramienta de bombardeo automático es tan efectiva durante el sprint hacia las fiestas que CISA incluyó el bombardeo automático en su lista de amenazas MFA a observar. Para agregar una capa para frustrar el push-bombing, CISA recomienda una OTP basada en token.

Según la advertencia de CISA:

“En la notificación de inserción móvil, el usuario acepta un mensaje de “inserción” enviado a la aplicación móvil para aprobar una solicitud de acceso. Cuando se implementa la coincidencia de números, hay un paso adicional entre recibir y aceptar el aviso: el usuario debe ingresar los números de la plataforma de identidad en la aplicación para aprobar la solicitud de autenticación”.

MFA está evolucionando, dice Duncan, pero también lo están las técnicas de los piratas informáticos.

“La naturaleza humana siempre ha sido el eslabón de ciberseguridad más débil”, agrega Duncan. “Los piratas informáticos saben que las personas se cansan y se molestan y, a veces, se adormecen ante las constantes solicitudes de MFA; si están lo suficientemente desgastados, los piratas informáticos cuentan con que los usuarios ingresen su información para deshacerse del aviso”.

Entonces, ¿cómo evitar ser víctima de una campaña de bombardeos? Duncan recomienda los siguientes pasos:

Entrenamiento de usuario

Cuanto más sabe alguien, más puede estar alerta. “Algunas personas ni siquiera saben que esto es una cosa, y simplemente asumirán que las indicaciones constantes son una seguridad demasiado muscular y harán lo que puedan para deshacerse de eso”, dice Duncan. Por lo tanto, la capacitación de los usuarios es la forma más económica de alertar a las personas sobre la amenaza que representa el push-bombing.

Coincidencia de números

Este es un método eficaz para evitar la fatiga de MFA y las campañas de bombardeo. La coincidencia de números es una configuración que obliga al usuario a ingresar números de la plataforma de identidad en su aplicación para aprobar la solicitud de autenticación. El sitio de CISA brinda información sobre la implementación de coincidencias de números en aplicaciones MFA. Si observa las Figuras 3 y 4, proporcionan la vista del usuario de una pantalla de inicio de sesión de la plataforma de identidad que utiliza la coincidencia de números. La coincidencia de números de Microsoft y DUO son dos de los más populares.

Por supuesto, esta técnica no es inmune al phishing, pero es un buen recurso provisional. Sin embargo, desafortunadamente, cada vez que parece que nos adelantamos a los piratas informáticos, ellos se ponen al día”, dice Duncan.