La autenticación multifactor (MFA) fue diseñada para mejorar la seguridad al requerir un segundo factor, incluso si las credenciales de la cuenta se veían comprometidas. Sin embargo, los atacantes ahora están eludiendo esta protección al manipular a los usuarios para que aprueben solicitudes de inicio de sesión maliciosas a través de una técnica conocida como bombardeo de solicitudes MFA. Las organizaciones que utilizan MFA basada en notificaciones push son particularmente vulnerables. Herramientas como **Specops Secure Access** están diseñadas para mitigar esta amenaza. Examinemos cómo funciona esta técnica. ## Cómo funciona el bombardeo de solicitudes MFA Este ataque se basa en tres elementos clave: * Credenciales de cuenta válidas, a menudo obtenidas de bases de datos de contraseñas vulneradas. * Un portal de inicio de sesión que utiliza MFA basada en notificaciones push, como una VPN, **Microsoft 365**, **Okta** o **Duo**. * Un objetivo que recibe alertas por cada intento de inicio de sesión. Los atacantes inundan al objetivo con solicitudes MFA, esperando que finalmente aprueben una, ya sea por error o por frustración. Esta táctica a menudo se combina con llamadas de vishing (phishing de voz), donde los atacantes se hacen pasar por personal de soporte de TI para manipular socialmente al objetivo para que apruebe la solicitud. El peligro radica en el hecho de que el atacante solo necesita tener éxito una vez. Una vez que se aprueba una solicitud, el atacante obtiene acceso como el usuario legítimo. Debido a que el inicio de sesión parece legítimo, es poco probable que los sistemas de seguridad generen una alerta. ## La brecha de **Cisco** La brecha de **Cisco** en 2022 demuestra la efectividad de esta técnica. Un atacante, vinculado al grupo de ransomware **Yanluowang**, comprometió la cuenta personal de **Google** de un empleado de **Cisco**, obteniendo acceso a credenciales almacenadas en el navegador, incluida su contraseña de VPN de **Cisco**. El atacante luego inició solicitudes MFA al teléfono del empleado. Inicialmente sin éxito, recurrieron a llamadas de vishing, haciéndose pasar por personal de soporte de confianza con varios acentos, y finalmente persuadieron al empleado para que aprobara una notificación push. Esto otorgó al atacante acceso a la VPN como el empleado. Luego inscribieron sus propios dispositivos para persistencia MFA, escalaron privilegios, accedieron a servidores **Citrix** y controladores de dominio, y exfiltraron aproximadamente 2.8 GB de datos antes de ser detectados. El éxito del bombardeo de solicitudes contra **Cisco**, una empresa con una sólida postura de seguridad, subraya su peligro potencial. ## Por qué la MFA push no elimina el riesgo La MFA basada en notificaciones push presenta un desafío porque los usuarios tienen información limitada al aprobar o denegar un inicio de sesión. Carecen de detalles claros sobre el origen de la solicitud, el dispositivo que se está utilizando o si iniciaron el intento de inicio de sesión. Si bien es manejable de forma aislada, las solicitudes repetidas pueden llevar a los usuarios a asumir un mal funcionamiento del sistema en lugar de reconocer un posible ataque. Junto con una llamada telefónica oportuna de un representante de soporte de TI falso, la situación se vuelve aún más compleja. El usuario, creyendo que está respondiendo a una solicitud legítima, otorga inadvertidamente acceso a un atacante que ya posee sus credenciales. ## 3 formas de prevenir el bombardeo de solicitudes ### 1. Utilice factores MFA resistentes a la fatiga y al phishing Las notificaciones push son la forma más débil de MFA. Los factores resistentes al phishing, como las claves de seguridad FIDO2 (**YubiKey**), los tokens de hardware o los códigos de coincidencia de números de las aplicaciones de autenticación, son más difíciles de explotar. **Specops Secure Access** admite más de 15 proveedores de identidad y ofrece opciones resistentes a la fatiga para el inicio de sesión de Windows, RDP y conexiones VPN, lo que permite a las organizaciones reemplazar la MFA solo push para puntos de acceso de alto riesgo.  ### 2. Bloquee las contraseñas comprometidas en el origen El bombardeo de solicitudes se basa en que los atacantes posean contraseñas válidas. Escanear continuamente **Active Directory (AD)** contra una base de datos en vivo de contraseñas vulneradas y forzar restablecimientos cuando se encuentran coincidencias elimina la base para el ataque. Las políticas de contraseña predeterminadas de AD son insuficientes para detectar contraseñas reutilizadas, incrementales o vulneradas. **Specops Password Auditor** proporciona un escaneo gratuito y de solo lectura de su AD, identificando vulnerabilidades como contraseñas comprometidas o cuentas de administrador inactivas.  ### 3. Agregue señales de riesgo al inicio de sesión Las políticas de acceso condicional, que consideran factores como la geografía, el estado del dispositivo y los horarios de inicio de sesión, pueden bloquear o requerir autenticación adicional antes de que se envíe una solicitud al usuario. Esto reduce la dependencia del comportamiento del usuario e introduce contexto en tiempo real para evitar que los inicios de sesión sospechosos resulten en el compromiso de la cuenta. ## La MFA todavía importa El bombardeo de solicitudes MFA no invalida la MFA, pero resalta las limitaciones de ciertos factores. Cuando las solicitudes de aprobación se pueden activar repetidamente sin contexto, el control se vuelve vulnerable a la manipulación. Si las notificaciones push son su segundo factor predeterminado, reconsidere esta decisión. La coincidencia de números o los métodos resistentes al phishing mejoran la MFA, mientras que el escaneo de contraseñas comprometidas reduce el riesgo de que los atacantes obtengan acceso inicial. Explore soluciones MFA más sólidas para fortalecer la seguridad de su identidad.