MFA Fatigue: Ataques por bombardeo de notificaciones y cómo pararlos

¿Has escuchado hablar de la MFA Fatigue o ataques por bombardeo de notificaciones? Si no, conviene que sigas leyendo y te enteres de esta nueva táctica y de cómo la usan los ciberdelincuentes. Así, sabrás qué hacer si pasas por la desagradable experiencia de ser víctima de un ataque de fatiga por MFA.

MFA Fatigue: ¿En qué consiste el ataque de fatiga por MFA?

Ya hace algún tiempo que la autenticación de múltiples factores, o MFA, se está usando con éxito para reforzar la seguridad digital. Ha quedado claro que las contraseñas, por sí solas, ya no ofrecen protección suficiente. Ahora es imprescindible añadir una segunda (y hasta tercera) capa de verificación: un SMS, una notificación push o una llave física.

Por cierto, ¿ya has activado la autenticación de múltiples factores en tus cuentas de usuario? Si no estás muy empapado del tema, puedes leer el artículo Así funciona la Autenticación en dos pasos que deberías activar ya para mejorar tu seguridad. Con todo, si bien representa una medida extra muy efectiva, la MFA no es infalible. Esto ha quedado bien claro con los recientes ataques de MFA Fatigue, también conocidos como ataques por bombardeo de notificaciones.

¿En qué consiste la MFA Fatigue? Imagina esta escena: es tarde en la noche, y estás relajado en el sofá viendo tu serie favorita. De repente, tu smartphone empieza a vibrar de forma insistente. Miras la pantalla y ves una notificación tras otra: «¿Estás intentando iniciar sesión?» Ignoras la primera y la segunda; pero sigue llegando la misma notificación: ¡decenas de ellas! En un momento de frustración, y a fin de que el martilleo pare, pulsas «Aprobar».

Contenido exclusivo - Clic Aquí Cómo cambiar el método de verificación de Microsoft

Cómo funciona el ataque por bombardeo de notificaciones

Acabas de caer en un ataque de MFA Fatigue. Pero, ¿cómo es posible?

De alguna manera, el ciberdelincuente obtuvo tu nombre de usuario y contraseña.
Acto seguido, intenta iniciar sesión de forma reiterada en algún servicio que uses. Lógicamente, el sistema de autenticación te envía una notificación push a tu app MFA.
El problema viene cuando el atacante, usando alguna herramienta automatizada, genera decenas o incluso cientos de intentos de login en pocos minutos.
Esto hace que tu móvil sea bombardeado por notificaciones con solicitudes de aprobación.
En un intento de detener la avalancha de avisos, pulsas en «Aprobar» y ya está hecho: el atacante toma control de tu cuenta.

¿Por qué es tan efectivo?

El objetivo de la MFA Fatigue no es burlar la tecnología. Más bien, lo que busca es agotar tu paciencia y sentido común. Pensándolo bien, el factor humano es el eslabón más débil que compone la cadena que resguarda tu seguridad. Por eso, el bombardeo de notificaciones pretende fatigarte, confundirte, hacerte dudar… hasta que pulses el botón incorrecto. Basta con que lo hagas una sola vez.

Una razón por la que la MFA Fatigue es tan efectiva es que aprobar una notificación push es increíblemente sencillo. Requiere un solo toque, y a menudo sin necesidad de desbloquear el móvil. En determinados momentos, puede ser la solución más sencilla para que el dispositivo regrese a la normalidad.

Y todo empeora si el atacante te contacta haciéndose pasar por alguien de soporte técnico. Seguro ofrecerá su «ayuda» para intentar resolver el «problema», instándote a aprobar la notificación. Este fue el caso de un ataque registrado en 2021 contra Microsoft, en el que el grupo atacante se hizo pasar por el departamento de TI para engañar a la víctima.

Contenido exclusivo - Clic Aquí ¿Dónde se guarda la copia de seguridad de WhatsApp?

MFA Fatigue: Ataques por bombardeo de notificaciones y cómo pararlos

Así las cosas, ¿hay manera de defenderse de la MFA Fatigue? Sí, afortunadamente, existen buenas prácticas que funcionan contra el bombardeo de notificaciones. No requieren deshacerse de la autenticación multifactor, sino de implementarla de forma más inteligente. A continuación, las medidas más efectivas.

Nunca, jamás, apruebes una notificación que no solicitaste

Por más cansado o frustrado que estés, nunca debes aprobar una notificación que no solicitaste. Esta es la regla de oro para detener cualquier intento de que caigas en la MFA Fatigue. Si no estás intentando iniciar sesión en un servicio, cualquier notificación MFA es sospechosa.

En este sentido, recuerda también que ningún servicio se pondrá en contacto contigo para «ayudarte» a resolver «problemas». Y mucho menos si el medio de contacto es una red social o una app de mensajería, como WhatsApp. Toda notificación sospechosa debe ser reportada de inmediato al departamento de TI o seguridad de tu empresa o servicio.

Evita notificaciones push como único método de MFA

Sí, las notificaciones push son cómodas, pero también son vulnerables a este tipo de ataques. Es preferible utilizar métodos más robustos como parte de la autenticación de doble factor. Por ejemplo:

Códigos TOTP (Time-based One-Time Password), que son generados por aplicaciones como Google Authenticator o Authy.
Llaves de seguridad físicas, como YubiKey o Titan Security Key.
Autenticación basada en número. Con este método, tienes que ingresar un número que aparece en la pantalla de inicio de sesión, lo que impide aprobaciones automáticas.

Contenido exclusivo - Clic Aquí Así funciona la Autenticación en dos pasos que deberías activar ya para mejorar tu seguridad

Implementa límites y alertas en los intentos de autenticación

Explora el sistema de autenticación que utilizas y activa los límites y alertas de intentos. Debido al creciente número de casos de MFA Fatigue que se han registrado, cada vez más sistemas de MFA incluyen opciones para:

Bloquear temporalmente los intentos tras varios rechazos consecutivos.
Enviar alertas al equipo de seguridad si se detectan múltiples notificaciones en poco tiempo.
Registrar y auditar todos los intentos de autenticación para un análisis posterior (historial de accesos).
Requerir un segundo factor más fuerte si el intento de login proviene de una ubicación inusual.
Bloquear el acceso automáticamente si el comportamiento del usuario es anómalo.

En definitiva, ¡mantente alerta! Activar la autenticación multifactor sigue siendo una medida esencial para resguardar tu seguridad en línea. Pero no conviene pensar que se trata de una barrera infranqueable. Si tú puedes acceder, cualquier puede hacerlo si logra engañarte. Por eso, los atacantes irán por ti: tratarán de fastidiarte hasta que los dejes entrar.

¡No caigas en la trampa de la MFA Fatigue! No cedas ante el bombardeo de notificaciones. Reporta cualquier solicitud sospechosa y activa los límites y alertas adicionales. De esta manera, será imposible que la insistencia de un atacante te saque de quicio y haga que pulses en el botón incorrecto.

Andrés Leal

Desde muy joven he sentido una gran curiosidad por todo lo relacionado con los avances científicos y tecnológicos, en especial aquellos que nos hacen la vida más fácil y entretenida. Me encanta estar al tanto de las últimas novedades y tendencias, y compartir mis experiencias, opiniones y consejos sobre los equipos y gadgets que uso. Esto me llevó a convertirme en redactor web hace poco más de cinco años, enfocado principalmente a los dispositivos Android y sistemas operativos Windows. He aprendido a explicar con palabras simples aquello que resulta complicado para que mis lectores puedan entenderlo fácilmente.