A pesar de que la autenticación de doble factor es una de las herramientas que siempre recomendamos activar para proteger nuestras cuentas de ciberdelincuentes, se ha demostrado que tampoco es un método infalible. Y es que gracias al análisis en profundidad de la firma de ciberseguridad Sekoia, hemos descubierto la existencia de una herramienta que permite evadir las técnicas de 2FA (Two-factor Authentication) en servicios como Gmail o Microsoft 365.
Esta herramienta, promocionada como un ‘kit como servicio’, se está compartiendo en foros de ciberdelincuencia y permite evadir las protecciones basadas en la verificación de dos pasos. Se llama Tycoon 2FA, lleva un buen tiempo rondando por la red y ahora se ha actualizado con nuevas medidas para atacar cuentas de Gmail y Microsoft 365.
La verificación de dos pasos ya no es infalible
Tycoon 2FA fue por primeva vez visto por la firma de ciberseguridad en octubre de 2023, aunque todo apunta a que la herramienta lleva activa desde agosto del mismo año. Según afirman desde Sekoia, se trata de uno de los kits de phishing más compartidos de la red y desde febrero de 2024 se ha identificado una nueva versión que ha mejorado sus capacidades de antidetección.
Los investigadores han podido encontrar páginas web listas para su uso para atacar mediante phishing cuentas de Gmail, comenzando desde los 120 dólares por 10 días de uso. También hay páginas que hacen lo mismo para los servicios de Microsoft 365. Además de en múltiples foros enfocados en el hacking, también se ha compartido esta herramienta en varios canales de Telegram.
Con el fin de evadir los mecanismos de 2FA, la herramienta redirige a los usuarios a una página de inicio de sesión clonada y con un resultado prácticamente idéntico al original. Una vez los usuarios introducen sus credenciales en esta página, Tycoon 2FA lanza una página para verificar el código de autenticación. Según los investigadores, al pedir este código, lo que la herramienta está haciendo es interceptar el token para evadir las medidas de seguridad.
Las cookies que se utilizan para el inicio de sesión son capturadas por la herramienta y pueden ser utilizadas nuevamente para poder evitar los mecanismos de autenticación de doble factor reales que se utilizan en servicios como Gmail o Microsoft 365. El ataque phishing comienza a través de un correo electrónico que se le envía a la víctima, con enlaces hacia este tipo de páginas web clonadas o códigos QR.
"Cuando las víctimas caen presas de estos ataques de phishing para eludir la autenticación multifactor se registran exitosamente y autorizan un acceso que el mecanismo de MFA no puede proteger," afirma Max Gannon, director de análisis de ciberinteligencia de Cofense. "Estos kits llevan la carrera de los ataques de phishing a donde estábamos antes de la llegada de MFA", concluye Gannon.
Un portavoz de Google contó al medio Forbes que, afortunadamente, existen mecanismos para protegernos de este tipo de ataques. Una de las medidas que menciona es passkeys, una medida que no necesita contraseñas para iniciar sesión y que, según Google, reduce sustancialmente el impacto de phishing y otras técnicas de ingeniería social.
"Estamos continuamente supervisando y actualizando nuestro ecosistema de productos de seguridad para ayudar a proteger a los clientes contra este tipo de amenazas. Como buena práctica de seguridad, animamos a los clientes a adoptar siempre buenos hábitos informáticos en línea, como tener cuidado al hacer clic en enlaces a páginas web, abrir archivos desconocidos o aceptar transferencias de archivos. Además, recomendamos cambiar a Passkeys siempre que sea posible y utilizar aplicaciones de autenticación como Microsoft Authenticator, que advierten a los usuarios de posibles intentos de phishing," afirma un portavoz de Microsoft.
Imagen de portada | Solen Feyissa
En Genbeta | No te creas que Gmail está a punto de cerrar: es un bulo que se aprovecha de dos datos reales
Ver 0 comentarios