La autenticación multifactor no es suficiente por sí misma
- Actualidad

Cerca de la mitad de las cuentas que fueron robadas por ciberdelincuentes en 2024 disponían de autenticación multifactor, lo que pone en duda la extendida creencia de que supone una protección completa. Según Proofpoint, confiar en un único mecanismo de defensa es arriesgado.
El informe de Proofpoint State of the Phish 2024, que evalúa el phishing en Europa y Oriente Medio a lo largo del año pasado, establece una preocupante conclusión: casi la mitad de las cuentas que lograron controlar los ciberdelincuentes tenían autenticación multifactor. Si bien ésta es útil, no basta por sí sola: debe ir acompañada de una sólida estrategia de seguridad.
Resulta llamativo que la mayor parte (nada menos que el 89%) de los profesionales de la ciberseguridad encuestados por Proofpoint consideran la autenticación multifactor como una protección completa para evitar la apropiación de cuentas. Para la compañía, hay una “clara desconexión entre la creencia de la AMF, como piedra angular de la ciberseguridad moderna, y la mayor sofisticación de las tácticas de los ciberdelincuentes para eludirla”.
En otros modos de la evadirla, Proofpoint señala los ataques de phishing que logran que sus víctimas introduzcan sus códigos o credenciales en páginas falsas de inicio de sesión; el secuestro de sesiones para robar cookies después de la autenticación; ataques de fatiga con numerosas notificaciones push de autenticación multifactor; ingeniería social para lograr un intercambio de SIM; o ataques de intermediario para interceptar tokens de sesión.
Proopoint explica que “las tácticas de evasión de la AMF son un buen ejemplo de la naturaleza dinámica de las ciberamenazas actuales. Al invertir en medidas completas y proactivas, es posible adelantarse a las amenazas. Además, te aseguras de que, si una capa de seguridad falla, las otras pueden absorber el impacto. La ciberseguridad no consiste en construir un único muro infranqueable, sino en dificultar cada paso a los atacantes”.