Rapid Domain Triage, la herramienta de alerta frente a ataques a MFA de Infoblox
- Actualidad
El nuevo servicio de la plataforma BloxOne Threat Defense está especialmente preparada para combatir los ataques a los sistemas de autenticación multifactor, que se han visto incrementados a lo largo del último año.
Infoblox ha incorporado dentro de su plataforma BloxOne Threat Defense su nuevo servicio Rapid Domain Triage, desarrollado para bloquear de forma automática y casi en tiempo real los dominios sospechosos que amenacen sus sistemas de autenticación multifactor (MFA). La compañía ha diseñado esta herramienta porque, según sus propios datos, los ataques a sistemas MFA se han incrementado en los últimos 15 meses.
Pese a su complejidad, los ciberdelincuentes disponen de una mayor accesibilidad a las herramientas para implementar ataques tipo AiTM (adversary-in-the-middle) a gran escala. Una vez tienen acceso a números de teléfono de su objetivo, registran un nombre de dominio de aspecto similar a MFA, 2FA, Okta, Duo, o bien que contiene palabras clave de verificación conocidas. Cuando el usuario hace clic en el enlace, el atacante interactúa con él para hacerse con los códigos MFA, en ocasiones llamando por teléfono a la víctima. Con sus credenciales MFA, el atacante puede acceder al sistema real.
Renée Burton, directora de la Unidad de Inteligencia de Amenazas de Infoblox, señala que “en los últimos años, la adopción de la autenticación multifactor (MFA) ha cobrado un gran impulso. Tanto los proveedores de soluciones de ciberseguridad como las administraciones públicas con responsabilidad en la materia recomiendan adoptar esta estrategia de seguridad. Como suele suceder, cuando algo se vuelve popular, se convierte en objetivo de los cibercriminales.”
Así, Infoblox considera que los sistemas MFA se han convertido en un arma de doble filo. Si bien son un valioso mecanismo de protección de accesos, se han convertido también en un vector de amenazas cuando los ciberdelincuentes imitan interfaces de autenticación MFA para capturar credenciales de usuarios.
Esta práctica se complementa además con lo que la compañía llama envejecimiento tecnológico. Antes los dominios fraudulentos se registraban, se utilizaban y se cerraban de forma muy rápida. A medida que las medidas contra el phishing incorporaron bloqueos de dominios recién registrados, más del 30% de estos dominios no se empiezan a utilizar hasta pasados varios días desde su creación.