Microsoft afirma que el 99.9% de todos los hacks de cuentas pueden evitarse agregando MFA

La autenticación de dos factores (2FA) o la autenticación de múltiples factores (MFA) no es (y nunca será) perfecta. Los cibercriminales motivados ya han desarrollado una variedad de diferentes herramientas y técnicas que los ayudan a evitar 2FA, y los han utilizado en ataques del mundo real. Cada dos días, leemos sobre cómo los códigos OTP pueden ser phishing y sobre cómo los medios como el correo electrónico y los SMS no proporcionan la seguridad necesaria para transmitir este tipo de información. Incluso las aplicaciones especializadas como Google Authenticator no son inmunes a los ataques exitosos, lo que hace que muchos duden de la seguridad adicional proporcionada por 2FA. En una presentación durante la Conferencia RSA del mes pasado en San Francisco, Alex Weinert, Director de Seguridad de Identidad de Microsoft, presentó algunas estadísticas que muestran cuán irrelevantes pueden ser estos temores.

Casi todas las cuentas empresariales comprometidas no usan MFA

Las cifras que mostró Weinert consideraban a los usuarios empresariales de Azure AD, el sistema de administración de identidad y acceso de Microsoft, y actúan como prueba (como si se necesitara una prueba) de que las cuentas empresariales basadas en la nube se veían comprometidas todo el tiempo. Solo durante el mes de enero, Microsoft detectó ataques exitosos contra no menos de 1.2 millones de cuentas. Según Weinert, esto representa el 0.5% de todos los usuarios, lo que puede no parecer mucho, pero cuando considera que estas son solo las estadísticas mensuales, las cosas comienzan a parecer un poco más preocupantes. Sin embargo, lo que es aún más aterrador es la aparente prevención de todos estos ataques.

Un enorme 99.9% de todas las cuentas comprometidas con éxito no estaban protegidas por MFA., Lo que realmente demuestra cuán mal ubicado puede estar el enfoque a veces. Si bien las personas no pueden activar la autenticación multifactor porque les preocupa que un atacante motivado pueda robar sus códigos temporales, los mismos atacantes están rompiendo cuentas sin la necesidad de dichos códigos. Está claro que las tasas de adopción siguen siendo bajas, y aunque los investigadores de seguridad que descubren fallas en los sistemas 2FA lo hacen por el bien de todos, al señalar las debilidades, están disuadiendo inadvertidamente a las personas de la función. Hay que decir que este no es el único problema.

Los protocolos de autenticación heredados y la mala administración de contraseñas también ayudan a los piratas informáticos

No debemos olvidar que estamos hablando de cuentas comerciales, lo que inmediatamente complica mucho las cosas. Como señaló Microsoft, a menudo, MFA ni siquiera es una opción para los usuarios.

Según el proveedor de sistemas operativos más popular del mundo, la gran mayoría de los ataques de adquisición de cuentas están dirigidos a organizaciones que usan lo que Microsoft llama "autenticación heredada". Estas organizaciones han construido toda su infraestructura de TI en torno a protocolos antiguos que no permiten 2FA en absoluto. Claramente, los atacantes saben cuán débiles pueden ser estos protocolos, y no rehuirán aprovecharse de este hecho. Desafortunadamente, cambiar a un sistema de autenticación más moderno y seguro a menudo implica mucho trabajo y tiempo de inactividad que las empresas simplemente no pueden permitirse, lo que significa que los usuarios nunca tienen la oportunidad de usar la autenticación de dos factores. Sin embargo, esto no debería ser una excusa para la poca seguridad de su cuenta.

Alex Weinert dijo en su presentación que los piratas informáticos utilizaron el robo de contraseñas para piratear aproximadamente el 40% de las cuentas comprometidas de enero. En un ataque de rociado de contraseña, los ciberdelincuentes usan una lista relativamente corta de contraseñas de uso común y las prueban contra una gama más amplia de nombres de usuario. Debido a que muchas personas tienden a usar contraseñas comunes y fáciles de adivinar, los ataques a menudo son exitosos.

Otro 40% de las 1.2 millones de cuentas que fueron forzadas durante el primer mes del año fueron víctimas de ataques de repetición. Aparentemente, la repetición de incumplimiento es el término de Microsoft para el relleno de credenciales, un ataque durante el cual los piratas informáticos usan nombres de usuario y contraseñas robados de un servicio en línea para abrir cuentas en varios otros sitios web. Una vez más, la actitud negligente de las personas hacia la seguridad de sus cuentas y su tendencia a reutilizar contraseñas hacen que el ataque sea muy exitoso.

En teoría, prevenir ataques de adquisición de cuentas en un entorno corporativo es un trabajo relativamente simple, pero el hecho es que hay bastantes factores en juego. El descubrimiento de vulnerabilidades arroja dudas sobre la eficiencia de 2FA, que, junto con el hecho de que la función no está disponible en todos los sistemas corporativos, da como resultado cifras de adopción deficientes.

Para mejorar realmente el estado de cosas, las personas deben darse cuenta de lo importante que es la administración adecuada de contraseñas. Las empresas y los proveedores de servicios deben hacer todo lo posible para garantizar que la seguridad adicional proporcionada por 2FA esté disponible en todo momento, y los usuarios deben aceptar el hecho de que, aunque no es una panacea, esta característica simple a menudo puede marcar la diferencia entre un cuenta comprometida y segura.