La autenticación de dos factores (también llamada 2FA) se utiliza para mayor seguridad al iniciar sesión, que de otro modo suele estar asegurada sólo con contraseña y nombre de usuario. En algunos casos, la autenticación multifactor (AMF) también se utiliza con este fin. Algunos de estos sistemas presentan ahora brechas de seguridad que el grupo de ransomware Lapsus$ ha aprovechado. Entre las víctimas de los ataques se encuentran Microsoft, Okta, Nvidia y Samsung.

Aquí puede averiguar qué hay detrás.

Cómo funciona la autenticación de dos o más factores

Para la autenticación mediante otro factor además de la contraseña y el nombre de usuario, muchos proveedores confían en aceptar una notificación push de la aplicación correspondiente en el smartphone. Otros también permiten que el cliente reciba una llamada en la que tiene que pulsar un determinado botón como otro factor.

Como no hay límite para los intentos de autenticación, aquí es exactamente donde entra en juego el grupo Lapsus$.

Hackeo mediante "MFA Bombing

El llamado "bombardeo MFA" se refiere a un proceso en el que el atacante envía tantas solicitudes MFA al dispositivo correspondiente del usuario hasta que éste acepta la autenticación. De este modo, una persona no autorizada accede a la cuenta sin apenas ser detectada a través de un dispositivo recién registrado por ella.

"Llama al empleado 100 veces a la 1 de la madrugada mientras intenta dormir y lo más probable es que acabe contestando. Una vez que el empleado responde a una llamada, se puede acceder al portal de registro MFA y registrar otro dispositivo", escribió supuestamente en un chat un miembro del grupo Lapsus$.

El procedimiento básico del "bombardeo AMF" es bien conocido. Resulta aún más aterrador que haya funcionado tan a menudo y, al parecer, incluso de forma inadvertida. También fue el caso de Microsoft, entre otros.

Daños en Microsoft, Okta, Nvidia y Samsung

Sólo recientemente, Microsoft y Okta han comprobado el acceso no autorizado a los servidores.

Microsoft no confirmó inicialmente ningún acceso no autorizado. Inicialmente, se supuso que un repositorio con código fuente de Azure DevOps era el objetivo de los atacantes. Recientemente, sin embargo, Microsoft informó de ataques en los que los autores publicaron, entre otras cosas, gran parte del código fuente de Bing, Bing Maps y Cortana. Participaron un total de 37 GBytes de 250 proyectos de software diferentes.

Cloudflare, entre otros, utiliza Okta como proveedor de servicios de gestión de identidades y accesos. Cloudflare informó del incidente, pero aseguró que no había pruebas de un compromiso.

Los investigadores de seguridad también señalaron que el objetivo de los atacantes podrían ser los datos de los clientes de Okta. Ya circulaban supuestos datos internos filtrados. Más tarde Okta confirmó que ya había habido intentos de acceso a finales de enero. No se pudo aclarar quién fue el atacante; en cualquier caso, se dice que no ha habido más intentos desde entonces.

Nvidia y Samsung ya reconocen el código malicioso firmado con un certificado de Nvidia, para que los sistemas operativos confíen en él. Los atacantes supuestamente intervinieron 1 Tbyte de datos de Nvidia. Nvidia respondió con un contraataque. Sin embargo, Lapsus$ ya había creado una copia de seguridad de los datos, que ahora el grupo quiere publicar pieza por pieza tras sus infructuosos intentos de chantajear a Nvidia. El grupo publicó los 190 GB de datos capturados a Samsung a través de torrents.

El tiempo dirá hasta dónde puede llegar el daño potencial para los clientes de estas grandes empresas. En el caso de ataques a través de cuentas legítimas de empleados, siempre es difícil saber si los atacantes realmente ya no están haciendo de las suyas en las redes y complejos sistemas de las empresas o si ya han depositado allí puertas traseras para futuros ataques.

¿Quiere saber que la seguridad de su información está en buenas manos? No dude en ponerse en contacto con nuestro equipo de expertos.

es_ESEspañol