La autenticación multifactor (MFA) se va convirtiendo en una práctica de ciberseguridad cada vez más extendida. Según el informe State of the Auth Report, de la compañía de autentificación digital Duo, un 78% de sus encuestados había utilizado autentificación 2FA o MFA en 2021, frente a un 28% en 2017. El problema es que mientras este tipo de empresas trabajaban para que la MFA estuviera más presente y fuera más fácil de usar, los ciberdelincuentes también han estado buscando maneras de eludirla. De esta manera, los kits de phishing se han visto obligados a evolucionar para poder saltarse esta capa de seguridad.
Los kits de phishing son un software desarrollado para ayudar a los ciberdelincuentes a conseguir credenciales y poder sacar provecho de ellas rápidamente. Normalmente, se instalan en un servidor del atacante o en un servidor externo comprometido, y pueden comprarse fácilmente por menos de lo que cuesta un café. Los investigadores de Proofpoint han observado múltiples MFA phishing kits, algunos simples y funcionales de código abierto, y otros tan sofisticados que tienen numerosas capas de ofuscación y módulos incorporados para robar nombres de usuario, contraseñas, tokens MFA, números de la seguridad social y números de tarjetas de crédito.
En los últimos años, Proofpoint ha detectado la aparición de un nuevo tipo de kit que no se basa en la recreación de un sitio web, sino que mediante un proxy inverso transparente presenta el sitio web real a la víctima. Las páginas web actuales son dinámicas y cambian con frecuencia, por lo tanto, presentar la web real mejora en gran medida la ilusión de que una persona está haciendo un inicio de sesión seguro. Otra ventaja del proxy inverso es que permite hacer un ataque Man-in-the-Middle (con intermediario) a una sesión de navegador y capturar no sólo los nombres de usuario y las contraseñas en tiempo real, sino también las cookies. En concreto, han observado tres kits de este tipo emergentes: Modlishka, Muraena/Necrobrowser y Evilginx2.
Estos kits Man-in-the-Middle representan un punto ciego en el sector, investigadores de la Stony Brook University y Palo Alto Networks comprobaron como de 1200 sitios MitM solo un 43,7% de los dominios y un 18,9% de las direcciones IP aparecían en listas de bloqueo populares como VirusTotal. Con la situación actual, en la que tantas personas trabajan desde casa, muchas empresas van a empezar a exigir la MFA, entre ellas Google que prevé implementarla a principios de este año.
Debido a esto, Proofpoint ve probable que cada vez más ciberdelincuentes recurran a estas soluciones sencillas y efectivas, lo que solo va a complicar el trabajo de los profesionales de ciberseguridad. Las organizaciones necesitan prepararse para hacer frente a puntos ciegos como estos antes de que puedan evolucionar en nuevas direcciones inesperadas.