La aplicación Microsoft Authenticator ha mejorado la seguridad de la verificación multifactor (MFA, por sus siglas en inglés) con la implementación de nuevas funciones como la 'coincidencia de números' y las peticiones de contexto adicional, diseñadas para evitar ataques de 'phishing' y aprobaciones accidentales.
Los sistemas de autenticación multifactor, aunque añaden una capa adicional de seguridad a los inicios de sesión, no están exentos de problemas, no están exentos de problemas. Y a su creciente adopción le sigue el aumento de los denominados 'ataques de fatiga MFA'.
«Estos ataques se basan en la capacidad del usuario para aprobar una simple notificación de voz, SMS o push que no requiere que el usuario tenga un contexto de la sesión que está autenticando», explicó el director de Seguridad de Identidad en Microsoft, Alex Weinert, en septiembre, con motivo de un informe sobre esta amenaza.
Cuando hablan de aprobaciones simples se refieren al momento en que el usuario recibe una notificación automática para que haga clic o ingrese un PIN para aprobar el inicio de sesión en lugar de escribir un código que se le muestra en pantalla.
Los ataques de fatiga MFA se aprovechan de la falta de atención que muestran los usuarios en las aprobaciones simples. Son capaces de sobrepasar la autenticación multifactor mediante el intento de iniciar sesión de forma repetida con las credenciales que previamente haya robado, lo que se traduce en un envío constante de peticiones de aprobación al móvil de la víctima.
Esta llegada de notificaciones pueden llevar al usuario a aceptar una de ellas por error o sin pensar, dando entonces acceso a su cuenta a los cibercriminales.
Para evitar este tipo de ataques, Microsoft ha implementado en Microsoft Authenticator la 'coincidencia de números', una función que evita la aprobación accidental mediante al solicitar al usuario que ingrese un código de dos dígitos desde la pantalla de inicio de sesión en la aplicación, según explican en el blog de Tech Community de la compañía.
«Si el usuario no inició el inicio de sesión, no conocerá el código de dos dígitos, lo que requerirá que el malhechor comparta el código de dos dígitos en un canal separado, que el usuario no debe aceptar», apuntan desde la compañía tecnológica.
Esta novedad está ya disponible para los administradores de las cuentas de una organización. También pueden acceder a otra novedad, 'contexto adicional', que también ayuda a reducir los inicios de sesión accidentales mediante la muestra de información sobre la app a la que se intenta acceder o la localización en la que se encuentra quien originó el inicio de sesión.
Microsoft explica que se pueden combinar en una misma notificación 'el contexto adicional' y 'la coincidencia de números'.