¿Tienes un iPhone? ¡Cuidado! Se ha detectado un nuevo tipo de ataque de phishing llamado MFA bombing. Los ciberdelincuentes envían a tu teléfono móvil notificaciones informando sobre un error en la función de restablecimiento de contraseña de Apple y, de esta forma, abusan de una característica o debilidad de una autenticación multifactor (MFA).
Así, bloquean los dispositivos Apple hasta que el destinatario responda «Permitir» o «No permitir» a cada mensaje. Los atacantes llaman a la víctima haciéndose pasar por el soporte de Apple con el objetivo de “verificar” un código de un solo uso y así acceder a las cuentas vinculadas.
El MFA Bombing (también conocido como MFA Fatigue o Push Notification Attack) es una técnica de ataque en la que un atacante abusa de las notificaciones de múltiples factores de autenticación (MFA, por sus siglas en inglés: Multi-Factor Authentication) para engañar o fatigar a un usuario legítimo y lograr el acceso a su cuenta.
¿Cómo Funciona el MFA Bombing?
- Robo de Credenciales: El atacante obtiene las credenciales (nombre de usuario y contraseña) de la víctima, a menudo a través de técnicas de phishing, brechas de datos o ataques de fuerza bruta.
- Inundación de Solicitudes MFA: Usando estas credenciales, el atacante intenta acceder a la cuenta de la víctima, lo que provoca el envío de múltiples solicitudes de autenticación (como notificaciones push en un dispositivo móvil, códigos de verificación, etc.) al usuario legítimo.
- Fatiga o Error del Usuario: La víctima, al recibir una avalancha de notificaciones, puede cansarse o confundirse. Esto puede llevarla a aprobar una de las solicitudes simplemente para detener la molestia, o por error, permitiendo al atacante acceder a la cuenta.
Cómo Reconocer el MFA Bombing
Reconocer un ataque de MFA Bombing implica estar alerta a ciertas señales y comportamientos inusuales:
- Frecuencia Inusualmente Alta de Solicitudes MFA:
- Recibir múltiples notificaciones de autenticación que no has solicitado.
- Notificaciones de MFA en momentos en que no estás intentando acceder a la cuenta.
- Inicios de Sesión desde Ubicaciones o Dispositivos Inusuales:
- Notificaciones que indican intentos de inicio de sesión desde ubicaciones geográficas o dispositivos desconocidos.
- Alertas o Mensajes de Seguridad:
- Mensajes o alertas de tu proveedor de MFA indicando actividad sospechosa o intentos de inicio de sesión no autorizados.
- Comportamiento No Solicitado en tu Cuenta:
- Cambios inesperados en la configuración de seguridad de tu cuenta.
- Intentos de cambio de contraseña o configuración de autenticación no solicitados.
Cómo Protegerse del MFA Bombing
- Educación y Conciencia:
- Capacitación sobre Seguridad: Educa a los usuarios sobre el MFA Bombing y cómo reconocer intentos de autenticación no solicitados.
- Notificaciones Verificadas: Asegúrate de que los usuarios comprendan la importancia de verificar cada solicitud de MFA antes de aprobarla.
- Implementación de Métodos MFA Más Seguros:
- FIDO2 o Autenticación Sin Contraseña: Usa métodos de autenticación más seguros que no se basan en notificaciones push o SMS.
- Aplicaciones de Autenticación: Prefiere aplicaciones de autenticación (como Google Authenticator o Authy) en lugar de SMS o llamadas telefónicas, que son más fáciles de comprometer.
- Configuración de Alertas y Notificaciones:
- Alertas de Actividad Sospechosa: Configura alertas para detectar y notificar intentos de acceso sospechosos.
- Monitoreo de Ubicación: Utiliza herramientas que permitan monitorear y verificar la ubicación geográfica de los intentos de inicio de sesión.
- Políticas de Seguridad Rigurosas:
- Restricciones de Acceso Basadas en Contexto: Implementa políticas que restrinjan el acceso basado en el contexto, como la ubicación, el dispositivo o la hora del día.
- Requerir Aprobación Adicional: En casos de múltiples intentos fallidos de MFA, requiere pasos de verificación adicionales antes de permitir el acceso.
El MFA Bombing es una técnica que explota la naturaleza humana de error y fatiga. La combinación de educación adecuada, tecnología avanzada y políticas de seguridad estrictas es crucial para mitigar este tipo de ataque.
Verificar la autenticidad de un número de teléfono que te llama puede ser crucial para protegerte de estafas y fraudes telefónicos. A continuación, te presento varias estrategias y herramientas que puedes utilizar para determinar si un número es legítimo o potencialmente fraudulento:
Métodos para verificar la autenticidad de un número de teléfono
- Búsqueda en motores de búsqueda:
- Google o Bing: Introduce el número en un motor de búsqueda. Muchas veces, los números utilizados en fraudes aparecen en bases de datos de quejas y sitios de denuncia de spam.
- Sitios de Denuncia de Números: Hay sitios especializados como WhoCallsMe, 800notes, o SpamCalls donde los usuarios reportan números sospechosos. Si el número aparece en estos sitios, es una señal de alerta.
- Contactar directamente a la empresa:
- Si recibes una llamada de una empresa, cuelga y busca el número oficial de la empresa en su sitio web o en documentación confiable. Llama directamente a ese número para confirmar si realmente intentaron contactarte.
- Revisar la localización del número:
- Códigos de Área y Prefijos: Verifica si el código de área o prefijo del número es coherente con la localización de la empresa o individuo que se supone te está llamando.
- Aplicaciones y Servicios de Localización: Herramientas como Whitepages pueden proporcionar información sobre la localización geográfica de un número.
- Análisis del comportamiento de la llamada:
- Duración del timbre: Las llamadas fraudulentas a menudo cuelgan rápidamente si no son respondidas de inmediato.
- Contenido de la llamada: Evalúa el contenido de la llamada. Las llamadas legítimas rara vez te pedirán información personal sensible inmediatamente o te amenazarán con consecuencias inmediatas.
- Revisar en Redes Sociales:
- Busca el número en redes sociales como Facebook o LinkedIn. A veces, los números están vinculados a perfiles personales o profesionales que pueden ayudarte a verificar su autenticidad.
- Contactar a tu proveedor de servicios:
- Reporte de Números: Muchos proveedores de servicios telefónicos tienen sistemas para reportar y verificar números sospechosos. Ellos pueden proporcionarte información adicional o ayudarte a bloquear el número.
Señales de alerta comunes en llamadas fraudulentas
- Solicitudes de información personal o financiera:
- Desconfía si te piden información personal o financiera sin una razón clara. Ninguna institución legítima debería pedir tu número de cuenta o PIN por teléfono sin una previa verificación de identidad.
- Presión para actuar rápidamente:
- Los estafadores a menudo crean un sentido de urgencia para evitar que pienses demasiado en lo que estás haciendo. Frases como «actúe ahora» o «su cuenta será cerrada si no responde inmediatamente» son comunes en fraudes.
- Ofertas demasiado buenas para ser verdaderas:
- Ofertas de premios, loterías ganadas sin haber participado, o propuestas financieras increíblemente favorables suelen ser estafas.
- Identificación de llamadas falsa o desconocida:
- Si el número aparece como desconocido o bloqueado, y no esperabas una llamada, es mejor no contestar.
- Mensajes automatizados:
- Las llamadas que empiezan con un mensaje grabado (robocalls) suelen ser de estafadores. Las empresas legítimas generalmente utilizan operadores humanos.
Estrategias para protegerte
- No responder llamadas de números desconocidos:
- Si no reconoces el número, considera dejar que la llamada vaya al buzón de voz. Los llamantes legítimos suelen dejar un mensaje.
- Verificación de Seguridad:
- Solicita información adicional para verificar la identidad del llamante. Pregunta por detalles que solo una empresa legítima sabría (como el motivo específico de la llamada).
- Uso defunciones de bloqueo en tu teléfono:
- La mayoría de los teléfonos inteligentes tienen funciones para bloquear números específicos. Utiliza estas funciones para prevenir llamadas repetidas de números sospechosos.
- Inscribirse en Listas de No Llamar:
- En algunos países, inscribirse en una lista de «No Llamar» puede ayudar a reducir la cantidad de llamadas de telemarketing.
Verificar un número de teléfono implica una combinación de vigilancia, uso de herramientas y aplicaciones disponibles, y sentido común. La clave es no apresurarse a proporcionar información personal o financiera y siempre buscar formas de confirmar la autenticidad del llamante.
Deja una respuesta
Lo siento, debes estar conectado para publicar un comentario.