Has sentit parlar de la MFA Fatigue o atacs per bombardeig de notificacions? Si no, convé que segueixis llegint i t'assabentes d'aquesta nova tàctica i de com la fan servir els ciberdelinqüents. Així sabràs què fer si passes per la desagradable experiència de ser víctima d'un atac de fatiga per MFA.
MFA Fatigue: En què consisteix l'atac de fatiga per MFA?
Ja fa algun temps que l'autenticació de múltiples factors, o MFA, s'està fent servir amb èxit per reforçar la seguretat digital. Ha quedat clar que les contrasenyes, per si soles, ja no ofereixen protecció suficient. Ara és imprescindible afegir una segona (i fins a tercera) capa de verificació: un SMS, una notificació push o una clau física.
Per cert, ja heu activat l'autenticació de múltiples factors als vostres comptes d'usuari? Si no estàs molt xop del tema, pots llegir l'article Així funciona l'Autenticació en dos passos que hauríeu d'activar ja per millorar la vostra seguretat. Amb tot, si bé representa una mesura extra molt efectiva, la MFA no és infal·lible. Això ha quedat ben clar amb els recents atacs de MFA Fatigue, també coneguts com a atacs per bombardeig de notificacions.
En què consisteix la MFA Fatigue? Imagina aquesta escena: és tard a la nit, i estàs relaxat al sofà veient la teva sèrie favorita. De cop i volta, el teu smartphone comença a vibrar de forma insistent. Mires la pantalla i veus una notificació darrere l'altra: «Estàs intentant iniciar sessió?» Ignores la primera i la segona; però segueix arribant la mateixa notificació: desenes d'elles! En un moment de frustració, ia fi que el martelleig pari, prems «Aprovar».
Com funciona l'atac per bombardeig de notificacions
Acabes de caure en un atac de MFA Fatigue. Però, com és possible?
- D'alguna manera, el ciberdelinqüent va obtenir el vostre nom d'usuari i contrasenya.
- Tot seguit, intenta iniciar sessió de forma reiterada en algun servei que facis servir. Lògicament, el sistema d'autenticació us envia una notificació push a la vostra app MFA.
- El problema ve quan l'atacant, usant alguna eina automatitzada, genera desenes o fins i tot centenars d'intents de login en pocs minuts.
- Això fa que el teu mòbil sigui bombardejat per notificacions amb sol·licituds daprovació.
- En un intent d'aturar l'allau d'avisos, feu clic a «Aprovar» i ja està fet: l'atacant pren el control del teu compte.
Per què és tan efectiu?
L'objectiu de la MFA Fatigue no és burlar la tecnologia. Més aviat, el que cerca és esgotar la teva paciència i sentit comú. Pensant-ho bé, el factor humà és la baula més feble que compon la cadena que protegeix la teva seguretat. Per això, el bombardeig de notificacions pretén fatigar-te, confondre't, fer-te dubtar... fins que prems el botó incorrecte. Només cal que ho facis una sola vegada.
Una raó per la qual la MFA Fatigue és tan efectiva és que aprovar una notificació push és increïblement senzill. Requereix un sol toc i sovint sense necessitat de desbloquejar el mòbil. En determinats moments, pot ser la solució més senzilla perquè el dispositiu torni a la normalitat.
I tot empitjora si l'atacant et contacta fent-se passar per algú de suport tècnic. Segur oferirà la seva «ajuda» per intentar resoldre el «problema», instant-te a aprovar la notificació. Aquest va ser el cas d'un atac registrat el 2021 contra Microsoft, en què el grup atacant es va fer passar pel departament de TI per enganyar la víctima.
MFA Fatigue: Atacs per bombardeig de notificacions i com aturar-los
Així doncs, hi ha manera de defensar-se de la MFA Fatigue? Sí, afortunadament, hi ha bones pràctiques que funcionen contra el bombardeig de notificacions. No requereixen desfer-se de l'autenticació multifactor, sinó de implementar-la de forma més intel·ligent. Tot seguit, les mesures més efectives.
Mai, mai, aprovis una notificació que no vas sol·licitar
Per més cansat o frustrat que estiguis, mai has d'aprovar una notificació que no vas sol·licitar. Aquesta és la regla d'or per aturar qualsevol intent que caiguis a la MFA Fatigue. Si no esteu intentant iniciar sessió en un servei, qualsevol notificació MFA és sospitosa.
En aquest sentit, recorda també que cap servei es posarà en contacte amb tu per ajudar-te a resoldre problemes. I encara menys si el mitjà de contacte és una xarxa social o una app de missatgeria, com WhatsApp. Tota notificació sospitosa ha de ser reportada immediatament al departament de TI o seguretat de la teva empresa o servei.
Evita notificacions push com a únic mètode de MFA
Sí, les notificacions push són còmodes, però també són vulnerables a aquest tipus datacs. És preferible utilitzar mètodes més robustos com a part de l'autenticació de factor doble. Per exemple:
- Codis TOTP (Time-based One-Time Password), que són generats per aplicacions com Google Authenticator o Authy.
- Claus de seguretat físiques, com YubiKey o Titan Security Key.
- Autenticació basada en número. Amb aquest mètode, heu d'introduir un número que apareix a la pantalla d'inici de sessió, cosa que impedeix aprovacions automàtiques.
Implementa límits i alertes en els intents d'autenticació
Explora el sistema d'autenticació que utilitzes i activa els límits i alertes d'intents. A causa del creixent nombre de casos de MFA Fatigue que s'han registrat, cada cop més sistemes de MFA inclouen opcions per a:
- Bloquejar temporalment els intents després de diversos rebutjos consecutius.
- Enviar alertes a l'equip de seguretat si es detecten múltiples notificacions en poc temps.
- Registrar i auditar tots els intents d'autenticació per a una anàlisi posterior (historial d'accessos).
- Requerir un segon factor més fort si l'intent de login prové d'una ubicació inusual.
- Bloquejar l'accés automàticament si el comportament de lusuari és anòmal.
En definitiva, estigues alerta! Activar l'autenticació multifactor continua sent una mesura essencial per protegir la teva seguretat en línia. Però no convé pensar que és una barrera infranquejable. Si tu pots accedir, qualsevol ho pot fer si aconsegueix enganyar-te. Per això, els atacants aniran per tu: tractaran de fastiguejar-te fins que els deixis entrar.
No caiguis al parany de la MFA Fatigue! No cedeixis davant del bombardeig de notificacions. Reporta qualsevol sol·licitud sospitosa i activa els límits i alertes addicionals. D'aquesta manera, serà impossible que la insistència d'un atacant et tregui de polleguera i faci que prems el botó incorrecte.
Des de molt jove he sentit una gran curiositat per tot allò relacionat amb els avenços científics i tecnològics, especialment aquells que ens fan la vida més fàcil i entretinguda. M'encanta estar al corrent de les últimes novetats i tendències, i compartir les meves experiències, opinions i consells sobre els equips i gadgets que faig servir. Això em va portar a convertir-me en redactor web fa poc més de cinc anys, enfocat principalment als dispositius Android i sistemes operatius Windows. He après a explicar amb paraules simples allò que resulta complicat perquè els meus lectors ho puguin entendre fàcilment.