(https://i.imgur.com/sEnHgYB.jpeg)
Expertos en ciberseguridad han descubierto una nueva técnica de ataque que permite a los ciberatacantes degradar la seguridad de las claves FIDO2, eludiendo sus protecciones resistentes al phishing. Este ataque AitM (Adversary-in-the-Middle) aprovecha el inicio de sesión entre dispositivos (cross-device authentication) para engañar a los usuarios y hacer que aprueben sesiones maliciosas sin darse cuenta.
¿Qué son las claves FIDO y por qué son clave en la protección contra el phishing?Las claves FIDO (Fast IDentity Online) son autenticadores físicos o basados en software diseñados para ofrecer una autenticación sin contraseña mediante criptografía de clave pública y privada. Se utilizan para vincular inicios de sesión a dominios específicos, eliminando así el riesgo de phishing.
Sin embargo, esta nueva campaña demuestra que, si bien FIDO es resistente al phishing, puede ser vulnerable si se abusa de funciones legítimas mal implementadas.
PoisonSeed: el actor de amenazas detrás del ataqueEl ataque ha sido atribuido al grupo PoisonSeed, según el informe de los investigadores Ben Nahorney y Brandon Overstreet de Expel. Este actor ya era conocido por:
- Enviar campañas de spam masivo con frases relacionadas a criptomonedas
- Vaciar billeteras digitales tras comprometer cuentas
- Abusar de herramientas de CRM y servicios de email marketing
Cómo funciona el ataque: explotación del flujo de autenticación FIDO entre dispositivosEl ataque se desarrolla a través de una cadena de pasos cuidadosamente orquestados:
- Phishing: La víctima recibe un correo electrónico que la dirige a un portal falso de inicio de sesión (por ejemplo, Okta).
- Robo de credenciales: El sitio clonado recoge el usuario y contraseña y los envía al portal real.
- Código QR: El portal legítimo responde con un código QR para autenticación híbrida FIDO2.
- Ataque AitM: El sitio de phishing transmite ese QR a la víctima, quien lo escanea con su autenticador (como una app móvil).
- Acceso no autorizado: Al completar la autenticación, los atacantes obtienen acceso total a la cuenta.
Citar"Los atacantes están abusando del método de transporte híbrido entre dispositivos en FIDO2. Aunque el protocolo es seguro, la implementación flexible sin verificación de proximidad —como Bluetooth— permite esta degradación", explicó Expel
.
Limitaciones del ataque: entornos que están protegidos[/b]
Este tipo de ataque no es efectivo en todos los entornos. Específicamente, no funciona cuando:
- El inicio de sesión exige verificación de proximidad física (Bluetooth, NFC)
- Se utilizan claves FIDO conectadas por USB directamente al dispositivo
- El entorno emplea autenticadores de plataforma vinculados al navegador o al sistema, como Face ID en el mismo dispositivo
Casos adicionales: inscripción maliciosa de claves FIDOExpel también detectó un incidente separado en el que, tras comprometer una cuenta con phishing, un atacante registró su propia clave FIDO y restableció la contraseña del usuario. Esto otorga persistencia al atacante, incluso si el usuario recupera su acceso.
Recomendaciones para empresas y usuariosPara prevenir ataques AitM y degradaciones de autenticación FIDO, los expertos recomiendan:
- Evitar el inicio de sesión entre dispositivos sin validación de proximidad.
- Requerir autenticadores FIDO2 conectados al mismo dispositivo de inicio de sesión.
- Implementar alertas para nuevos registros de claves de acceso y autenticaciones con código QR.
- Mostrar detalles clave en pantallas de inicio de sesión, como ubicación, tipo de dispositivo y advertencias claras.
- Aplicar métodos de recuperación de cuenta resistentes al phishing.
FIDO sigue siendo seguro, pero depende de una implementación rigurosaEste nuevo ataque no se basa en una falla del protocolo FIDO, sino en el abuso de una función legítima mal asegurada. La seguridad de la autenticación sin contraseña FIDO2 sigue siendo sólida, pero debe ir acompañada de controles que impidan su uso indebido.
Citar"Los ataques AitM contra claves FIDO son parte de una evolución constante entre atacantes y defensores. La clave está en fortalecer los controles contextuales, incluso en los flujos de recuperación de cuenta", concluyeron los investigadores.
Fortalece tu autenticación FIDO2 hoyEl hallazgo demuestra que incluso tecnologías resistentes al phishing como FIDO2 pueden ser vulnerables si se dejan puntos débiles abiertos, como el inicio de sesión entre dispositivos sin controles adecuados. Las organizaciones deben implementar estrategias defensivas proactivas para prevenir la ingeniería social avanzada y ataques de intermediario (AitM) que comprometan sus sistemas de autenticación.
Fuente: https://thehackernews.com/