La mala MFA y los ataques de identidad dominan el panorama de amenazas en el tercer trimestre de 2024
Deténganos si ha escuchado esto antes: los actores de amenazas se aprovechan de las identidades de los usuarios y de la mala gestión de autenticación multifactor. El último informe trimestral de Cisco Talos detalla una serie de tendencias que surgen en el panorama de amenazas, que incluyen la mala gestión de la identidad y la MFA.
El proveedor de seguridad dijo que los actores de amenazas apuntan cada vez más identidades de usuariointentando apoderarse de cuentas legítimas que, a su vez, pueden aprovecharse para realizar ataques de ingeniería social que resultan en un acceso mucho mayor a los datos de la empresa y a la infraestructura de red.
«Los ataques basados en la identidad son preocupantes porque a menudo involucran a actores que lanzan ataques internos desde una cuenta válida y comprometida, lo que hace que dicha actividad sea difícil de detectar», explicó Caitlin Huey, investigadora de Cisco Talos.
“Además, una vez que se logra el compromiso de la cuenta, un actor puede llevar a cabo cualquier cantidad de actividades maliciosas, incluida la creación de cuentas, aumentar los privilegios para obtener acceso a información más confidencial y lanzar ataques de ingeniería social, como el compromiso del correo electrónico empresarial (BEC), contra otros. usuarios de la red”.
De esos ataques de identidad, la fuerza bruta fue la técnica más popular. Una cuarta parte de los ataques observados involucraron técnicas de fuerza bruta, como la pulverización de contraseñas. Otros métodos populares para robar credenciales de cuentas incluían el uso de malware para robar información y ataques de intermediario.
La gestión de identidades y la seguridad de las cuentas han sido temas candentes últimamente, gracias en parte a que Okta los convirtió en un punto focal en su reunión anual. Conferencia de seguridad de Oktane. El proveedor ha impulsado, entre otras cosas, un marco abierto para la gestión de identidades que permitiría a los proveedores de SaaS compartir libremente datos de identidad y reducir la necesidad de exponer las credenciales de las cuentas.
También aumentaron los ataques que aprovechaban la autenticación multifactor mal configurada. Casi la mitad de todos los incidentes registrados incluyeron ataques que aprovecharon MFA mal configurado o imitaron pantallas de inicio de sesión legítimas.
En tales ataques, el actor de la amenaza recopilaría el código MFA y lo usaría inmediatamente para iniciar sesión en el servicio real (como Office 365) antes de que caducaran las credenciales de MFA.
«En casi el 40% de las interacciones, la mala configuración, la falta de MFA y la omisión de MFA representaron las principales debilidades de seguridad observadas este trimestre», explicó Huey.
«La MFA se omitió o no se habilitó completamente en el 100 % de los compromisos en los que los actores de amenazas enviaban correos electrónicos de phishing a las víctimas».
La MFA ha sido un tema candente en el ámbito de la seguridad últimamente. Ambos vendedores y agencias gubernamentales han advertido a las empresas que en muchos casos los sistemas MFA que se utilizan actualmente son ineficaces y propensos a sufrir vulnerabilidades. Se ha recomendado a los clientes que abandonen los formatos MFA más antiguos, como los SMS y las notificaciones automáticas, en favor de tecnologías de autenticación más seguras.