En un mundo digital donde la protección de nuestra identidad es una prioridad, la autenticación FIDO (Fast Identity Online) se ha posicionado como el estándar de oro. Representa la cúspide de la seguridad, superando las debilidades inherentes a las contraseñas estáticas y la autenticación multifactor (MFA) tradicional. Su fortaleza radica en su enfoque innovador: utiliza credenciales vinculadas directamente a un dispositivo físico, como un escáner biométrico o una llave de hardware.
Tras bastidores, la criptografía de clave pública y privada garantiza que estas credenciales nunca abandonen el dispositivo, creando una defensa que, hasta ahora, considerábamos prácticamente inexpugnable. Sin embargo, la seguridad no es estática, y los ciberdelincuentes están en constante búsqueda de nuevas vulnerabilidades. Recientemente, una investigación ha demostrado que la autenticación FIDO, lejos de ser invencible, puede ser eludida.
Tabla de Contenidos
El ataque de degradación: una nueva brecha de seguridad
La vulnerabilidad no reside en el protocolo mismo, sino en cómo es implementado. En lugar de derrotar a la autenticación FIDO directamente, los atacantes han desarrollado una técnica que simplemente la sortea. Este método, conocido como “ataque de degradación”, aprovecha la necesidad de las empresas de ofrecer múltiples opciones de inicio de sesión.
El año pasado, un investigador de seguridad ya demostró esta técnica en el contexto de Windows Hello for Business (WHfB) que cumple con FIDO. Ahora, los expertos de Proofpoint han perfeccionado este concepto, demostrando cómo se puede aplicar a la autenticación FIDO para Microsoft Entra ID. Su descubrimiento revela que este tipo de ataque es lo suficientemente simple como para ser integrado en los kits de phishing como servicio (PhaaS) comerciales, ampliando su alcance a una escala masiva.
El proceso es ingenioso y alarmantemente sencillo. El ataque comienza con un enlace de phishing enviado a la víctima. Al hacer clic, se le presenta una página de inicio de sesión de Entra ID que, a primera vista, parece completamente legítima. Los investigadores utilizaron Evilginx, un marco de “adversario en el medio” (AitM) de código abierto. A diferencia de las páginas de phishing comunes que simplemente imitan el sitio original, Evilginx actúa como un servidor de retransmisión entre la víctima y el sitio legítimo.
Componentes falsificados hacen no compatible la autenticación FIDO
El elemento clave es el “phishlet”, un componente que falsifica la cadena de agente de usuario del navegador de la víctima. Esto hace que los servidores de Microsoft crean que el intento de inicio de sesión proviene de una combinación de navegador y sistema operativo que no es compatible con la autenticación FIDO. Entra ID, al detectar esta supuesta incompatibilidad, responde con un mensaje de error y redirige al usuario a un método de autenticación menos seguro, como el MFA tradicional.
Es en este momento donde el atacante puede capturar las credenciales y el token de MFA de la víctima, obteniendo un token de sesión válido y acceso completo a su cuenta. Para evitar levantar sospechas, el atacante incluso puede compartir el token con la víctima, permitiéndole el acceso sin problemas. Afortunadamente, hasta la fecha, Proofpoint no ha detectado este tipo de ataques de degradación de la autenticación FIDO en el mundo real.
Superando los obstáculos hacia la exclusividad de la autenticación FIDO
La solución a este problema parece obvia: las organizaciones deberían limitar a los usuarios a métodos de inicio de sesión exclusivamente compatibles con la autenticación FIDO. Sin embargo, la realidad es más compleja. Como Bojan Simic, miembro de la junta directiva de la Alianza FIDO y cofundador de HYPR, señala, la prioridad principal de las grandes corporaciones como Microsoft es garantizar que los usuarios siempre puedan acceder a sus cuentas, incluso si eso significa sacrificar un nivel de seguridad.
“Fundamentalmente, para empresas como Microsoft y otros actores clave en este ecosistema, la prioridad número uno es asegurarse de que los usuarios puedan autenticarse. Eso no significa necesariamente que su prioridad número uno sea proteger la autenticación a toda costa”.
Las organizaciones también se muestran reacias al cambio, temiendo que la imposición de FIDO exclusivo pueda afectar la experiencia de usuario. Por ejemplo, un empleado que conecta su portátil a un monitor externo con la tapa cerrada no podrá usar el reconocimiento facial para la autenticación, lo que lo obligaría a recurrir a una contraseña.
Sin embargo, hay ejemplos de empresas que han adoptado una postura más audaz. Simic destaca a Coinbase como un modelo a seguir. Al inscribir una clave de acceso FIDO, la plataforma da a los usuarios la opción de desactivar la MFA. Si deciden hacerlo, se elimina la posibilidad de volver a autenticarse a través de métodos como SMS. Esta decisión, aunque poco común, refleja un compromiso con la seguridad del cliente, dejando la elección en manos del usuario final.
El futuro de la identidad digital: Un camino por recorrer
Este ataque de degradación pone de relieve una verdad fundamental en el campo de la ciberseguridad: la innovación en defensa debe ir de la mano con la implementación práctica y audaz. Si bien la autenticación FIDO es un avance tecnológico monumental, su efectividad total se ve limitada por la coexistencia con métodos de autenticación más débiles.
Las empresas deben comenzar a priorizar la seguridad absoluta sobre la conveniencia a ultranza. La protección de nuestros datos y nuestra identidad digital exige que eliminemos las puertas traseras que permiten a los ciberdelincuentes sortear las defensas más sólidas. La autenticación FIDO no puede ser solo una opción; en el futuro, debe convertirse en el único camino.
1
0
Average Rating