Vulnerabilidades de la autenticación de dos factores por SMS

24 de enero de 2024

Responsable de investigación de ciberamenazas

Vulnerabilidades de la autenticación de dos factores por SMS

La autenticación de dos factores (2FA) basada en SMS se consideró en su día una protección fiable, pero hace tiempo que los agresores han encontrado la forma de explotar sus puntos débiles. Desde la apropiación de cuentas mediante números de teléfono reciclados hasta las campañas de intercambio de SIM de grupos como Scattered Spider, la AMF basada en SMS expone a las organizaciones a brechas evitables. Lo que puede empezar como un inconveniente personal -como perder el acceso a una cuenta de Google o Amazon- puede escalar rápidamente a un compromiso corporativo, fraude financiero y exfiltración de datos.

Este blog pone de relieve ejemplos reales y libros de jugadas de atacantes avanzados para mostrar por qué el SMS 2FA ya no es defendible como control de seguridad, y qué deben hacer los ejecutivos para proteger sus organizaciones.

Ejemplo del mundo real: ¿Por qué el SMS 2FA no es seguro?

Hace un par de años, tuve que configurar un nuevo número de teléfono y rápidamente aprendí lo frágil que puede ser la autenticación multifactor (2FA) basada en SMS. Mi primera sorpresa llegó con mi cuenta de Amazon. El número que acababa de adquirir seguía vinculado a la cuenta de otra persona.

Cuando intenté proteger mi propia cuenta, descubrí lo fácil que le habría resultado a otra persona acceder a ella. Amazon permite a los usuarios iniciar sesión con un número de móvil y saltarse la contraseña solicitando un código de un solo uso (OTP) enviado por SMS. En la práctica, esto significa que cualquiera que tenga un número de teléfono vinculado a una cuenta puede recibir el código y entrar sin conocer nunca la contraseña original.

‍

Interfaz de inicio de sesión de Amazon y OTP recibido por sms. — *Captura de pantalla de la página de inicio de sesión de Amazon y OTP recibido por mensaje de texto.*

Una vez dentro, el individuo puede restablecer la contraseña de la cuenta, cambiar el correo electrónico asociado e incluso realizar compras utilizando los datos de la tarjeta de crédito almacenados. Amazon no exige validación bancaria adicional para estas transacciones, por lo que un atacante decidido podría aprovechar este fallo para realizar actividades fraudulentas.

Cuenta de amazon violada debido a un MFA basado en SMS obsoleto — *Capturas de pantalla de la interfaz de Amazon que muestran la cuenta del antiguo propietario del número de móvil*

En mi caso, accedí sin querer a la cuenta del propietario anterior, pero inmediatamente di marcha atrás y desvinculé el número para poder proteger el mío. Este incidente ilustra cómo la autenticación basada en SMS abre la puerta a riesgos de apropiación de cuentas. Para una empresa, las consecuencias van mucho más allá de los inconvenientes personales. Si esta situación se produjera en una cuenta corporativa, el resultado podrían ser transacciones financieras no autorizadas, pérdida de datos y un golpe directo a la confianza de los clientes.

Cómo eliminar sms mfa de una cuenta de Amazon — *Capturas de pantalla de la interfaz de Amazon que muestran la eliminación del número de teléfono móvil*

Este sencillo ejemplo muestra por qué la 2FA basada en SMS, aunque cómoda, no es segura. Un número de teléfono puede ser reasignado, interceptado o secuestrado, y con él, un atacante obtiene las claves de la cuenta. Para los ejecutivos que evalúan el riesgo empresarial, esto no es sólo un problema a nivel de usuario, es una vulnerabilidad sistémica que los atacantes avanzados explotan activamente.

Vulnerabilidades de autenticación multifactor

Cuando cambié mi número de teléfono pero olvidé actualizarlo en mi cuenta de Google, me quedé bloqueado a pesar de conocer mi contraseña. El proceso de inicio de sesión requería el envío de un código de verificación a mi antiguo número, y como ese número ya no me pertenecía, no pude recibirlo. Para un ejecutivo o un empleado, este escenario puede significar perder el acceso no sólo al correo electrónico, sino también a los archivos de Google Drive, los documentos compartidos y las aplicaciones de terceros vinculadas a la autenticación de Google.

Mensaje de error de Google "no se puede iniciar sesión" — *Captura de pantalla de la página de inicio de sesión de Google "No se puede iniciar sesión"*

‍

Este inconveniente personal pone de manifiesto un problema mayor: La AMF basada en SMS crea puntos únicos de fallo que los atacantes pueden explotar. A diferencia de la autenticación basada en aplicaciones o phishing, las contraseñas de un solo uso (OTP) por SMS pueden ser interceptadas, redirigidas o secuestradas.

En los últimos años han surgido varias técnicas de ataque que hacen que este riesgo sea una realidad para las empresas. He aquí las 3 principales:

Intercambio de SIM (o intercambio de SMS): Los atacantes convencen a los operadores de telefonía móvil para que transfieran el número de teléfono de un objetivo a una tarjeta SIM que ellos controlan. Una vez conseguido, reciben todos los mensajes SMS destinados a la víctima, incluidos los códigos MFA. Esta técnica ha alimentado fraudes financieros y violaciones corporativas que han costado millones a las organizaciones.
Ingeniería social: Los atacantes pueden engañar a los empleados para que restablezcan la configuración de la MFA y aprovecharse de la verificación basada en SMS. Grupos como Scattered Spider han logrado eludir la 2FA por SMS en varias infracciones de gran repercusión, lo que demuestra lo eficaz que puede ser la ingeniería social selectiva cuando se combina con vulnerabilidades de SMS.
Explotación masiva de números: Los atacantes compran bloques de números reciclados o no utilizados, apostando a que algunos permanecen vinculados a cuentas en línea. Con la automatización masiva, buscan cuentas vinculadas a esos números e intentan hacerse con ellas.

Cada uno de estos vectores de ataque demuestra por qué la AMF basada en SMS no es una protección fiable contra las amenazas modernas. Para las organizaciones, el impacto es mucho más grave que una cuenta bloqueada. Estas vulnerabilidades crean puntos de entrada para la toma de control de cuentas, el movimiento lateral dentro de las redes y la exfiltración de datos, todo lo cual grupos avanzados como Scattered Spider Spider utilizan activamente como arma.

Los ejecutivos deben ver la AMF basada en SMS como lo que es: una medida de comodidad, no un control de seguridad. En entornos de alto riesgo, expone a la empresa a infracciones evitables. La transición a métodos de MFA phishing, como las claves de seguridad o las contraseñas, combinada con la supervisión continua de comportamientos de identidad anómalos, es esencial para reducir este riesgo.

Tras eludir el 2FA por SMS: Cómo se mueven los atacantes, un ejemplo de Scattered Spider

Cuando los atacantes eluden la AMF basada en SMS, el compromiso rara vez se detiene en una sola cuenta. Para los ejecutivos, el verdadero peligro es lo que sigue: uso indebido de credenciales, persistencia sigilosa y rápida escalada a sistemas críticos. A continuación se ofrece un desglose conciso y sencillo de la progresión típica de un ataque, ilustrado con las tácticas utilizadas por Scattered Spider, un grupo conocido por combinar la ingeniería social y el intercambio de SIM para burlar la 2FA por SMS.

Típica progresión del atacante tras eludir el SMS MFA

Control inmediato de la cuenta: Con un código de un solo uso por SMS en la mano, el atacante inicia sesión como usuario legítimo. Pueden realizar acciones que parecen normales, lo que les ayuda a evitar las alertas básicas.
Asegurar el punto de apoyo, reducir la fricción: El atacante cambia las opciones de recuperación, añade correos electrónicos o números de teléfono alternativos y restablece la contraseña para impedir que el usuario real recupere el acceso.
Escalar privilegios en SaaS: A continuación se dirigen a plataformas de identidad y colaboración, como Office 365 o Google Workspace, buscando configuraciones a nivel de administrador o permisos de buzón. Pequeños cambios como la delegación, las reglas de bandeja de entrada o el reenvío pueden dar visibilidad a largo plazo de las comunicaciones.
Crear persistencia y puertas traseras: Los atacantes añaden directores de servicio, relaciones de confianza falsificadas o tokens de API. Estos elementos parecen legítimos sobre el papel, y permiten al atacante regresar aunque se rote una credencial robada.
Pivote hacia cloud y los activos críticos: Con tokens de identidad válidos y derechos delegados, los atacantes sondean las cargas de trabajo cloud , el almacenamiento y los paneles administrativos, en busca de datos confidenciales, credenciales en repositorios de código o servicios mal configurados.
Exfiltran, monetizan o sabotean: Finalmente exportan datos, mueven fondos o despliegan ransomware. Como la actividad se origina en cuentas legítimas, la detección y la respuesta pueden ser más lentas, lo que aumenta el impacto en el negocio.

Scattered Spider, como libro de jugadas ilustrativo

Scattered Spider que utiliza el phishing por SMS y el intercambio de SMS como parte de su proceso de ataque. — *Anatomía de un ataque Scattered Spider*

Scattered Spider utiliza la ingeniería social como primer paso, a menudo dirigiéndose al personal del servicio de asistencia o de atención al cliente para permitir el cambio de SIM o el restablecimiento de la MFA. Su método suele seguir estos pasos:

Ingeniería social selectiva, convenciendo a las operadoras o a los equipos de soporte para que transfieran números de teléfono o aprueben cambios de MFA.
Uso de SIM swaps o SMS redirigidos, recepción de OTPs y autenticación como víctima.
Obtención rápida de privilegios, acceso a las consolas de administración de SaaS y habilitación del reenvío de buzones o del acceso a API.
Establecer una persistencia de apariencia legítima, como relaciones de confianza federadas o principales de servicio que se integran en las configuraciones normales de cloud .
Movimiento lateral hacia sistemas de alto valor, donde pueden producirse exfiltraciones o fraudes financieros.

Por qué las empresas deben retirar la AMF por SMS: riesgos estratégicos y alternativas más seguras

Los puntos débiles de la autenticación multifactor basada en SMS van mucho más allá de las cuentas personales. Para las empresas, representan una brecha de seguridad sistémica que puede explotarse con efectos devastadores. Un simple secuestro del número de teléfono o la interceptación de una contraseña de un solo uso es suficiente para que un atacante se haga pasar por un usuario de confianza y burle las defensas del perímetro.

Grupos como Scattered Spider han demostrado hasta qué punto estas debilidades pueden convertirse en armas. Mediante el intercambio de SIM y la ingeniería social, han logrado eludir la MFA basada en SMS, acceder a sistemas de identidad como Entra ID y establecer una persistencia a largo plazo en entornos cloud . En algunos casos, estas tácticas han contribuido a brechas que han costado a las empresas decenas o incluso cientos de millones de dólares en pérdidas directas y esfuerzos de recuperación.

Para los ejecutivos, las implicaciones son claras:

Impacto financiero y operativo: Las cuentas comprometidas pueden dar lugar a transacciones fraudulentas, tiempos de inactividad y sanciones normativas.
Daños a la reputación: Los clientes y socios pierden la confianza cuando los atacantes explotan vulnerabilidades tan evitables.
Responsabilidad estratégica: Aferrarse a la AMF basada en SMS deja a la organización expuesta a métodos que los atacantes industrializan activamente.

El camino a seguir requiere métodos de AMF phishing , como las claves de seguridad FIDO2, las contraseñas o la biometría. A diferencia de los códigos SMS, éstos no pueden redirigirse ni interceptarse, lo que los hace resistentes al intercambio de SIM y a las campañas de phishing . Organismos como CISA ya recomiendan estas normas como mejores prácticas para las empresas que manejan datos sensibles.

Sin embargo, la tecnología es sólo una parte de la ecuación. Una cultura que dé prioridad a la seguridad debe reforzar estas medidas. Los empleados necesitan formación de concienciación para reconocer las estratagemas de ingeniería social, como las llamadas fraudulentas de soporte de TI diseñadas para restablecer la MFA. Combinadas con la detección continua de amenazas a la identidad y la supervisión basada en IA, las organizaciones pueden poner fin a actividades anómalas antes de que conduzcan a una brecha.

La conclusión para los dirigentes es sencilla: La MFA basada en SMS ya no es defendible como control de seguridad corporativo. Sustituirlo por alternativas phishing y combinarlo con una detección continua garantiza una mayor protección, resistencia frente a grupos avanzados como Scattered Spider y la conservación a largo plazo de la confianza empresarial.

Para entender mejor cómo los atacantes están eludiendo las débiles implementaciones de AMF y por qué este punto ciego sigue siendo un riesgo acuciante para las empresas, explore nuestra entrada de blog: Los atacantes no piratean, inician sesión: El punto ciego de la AMF.

Preguntas frecuentes

¿Qué es la autenticación multifactor (AMF) basada en SMS y por qué se utiliza?

La AMF basada en SMS es un proceso de seguridad que utiliza mensajes de texto para enviar un código de un solo uso o un enlace como capa adicional de verificación al iniciar sesión en una cuenta. Se utiliza para mejorar la seguridad exigiendo una segunda forma de autenticación además de la contraseña.

¿Cuáles son los principales riesgos asociados a la AMF basada en SMS?

Los principales riesgos son:

Interceptación de mensajes SMS: Los mensajes SMS no están cifrados y pueden ser interceptados por atacantes.
Dependencia de la red móvil: Las interrupciones pueden impedir la recepción de códigos de autenticación.
Vulnerabilidades del SS7: Aunque ahora es menos común, los atacantes pueden explotar el protocolo SS7 para interceptar mensajes.
Ingeniería social: Los atacantes pueden engañar a particulares o proveedores para que transfieran números de teléfono.
Compra masiva de números: Los atacantes pueden comprar números de teléfono en masa para hacerse con cuentas.

¿Cómo puede plantear problemas de seguridad un número de teléfono antiguo vinculado a una cuenta?

Si un número de teléfono se reasigna a un nuevo usuario pero sigue vinculado a las cuentas del propietario anterior, el nuevo usuario puede acceder potencialmente a esas cuentas. Esto puede dar lugar a un acceso no autorizado y a un posible uso indebido de información personal y financiera.

¿Qué debe hacer si su número de teléfono es reasignado y sigue vinculado a sus cuentas?

Actualice inmediatamente su número de teléfono en todas sus cuentas en línea. Póngase en contacto con los proveedores de servicios para disociar su antiguo número de sus cuentas. Supervisa regularmente tus cuentas para detectar cualquier actividad inusual y activa métodos MFA más potentes cuando sea posible.

¿Cuáles son las implicaciones más amplias de las vulnerabilidades de la AMF basada en SMS para las empresas?

Las empresas corren un mayor riesgo debido a los grandes volúmenes de datos sensibles y activos financieros. Las vulnerabilidades de la AMF basada en SMS pueden provocar brechas significativas, pérdidas financieras y daños a la reputación. Las empresas deben adoptar soluciones MFA más sólidas para proteger su infraestructura digital.

¿Cuáles son las alternativas recomendadas a la AMF basada en SMS?

Las alternativas más fuertes incluyen:

Autenticadores basados en aplicaciones: Como Google Authenticator y Microsoft Authenticator.
Verificación biométrica: Mediante huellas dactilares o reconocimiento facial.
Llaves de seguridad: Dispositivos físicos que proporcionan una capa adicional de seguridad.

¿Cómo pueden los usuarios mitigar los riesgos asociados a la AMF basada en SMS?

Los usuarios pueden:

Utilice un número de teléfono único e inédito para la AMF basada en SMS.
Reserve la AMF basada en SMS para las cuentas menos sensibles.
Actualice periódicamente la información de la cuenta, especialmente los números de teléfono.
Supervise las actividades de la cuenta en busca de indicios de acceso no autorizado.

¿Qué papel desempeñan los Centros de Operaciones de Seguridad (SOC) a la hora de abordar las vulnerabilidades de la AMF?

Los SOC son cruciales para vigilar, detectar y responder a las amenazas a la seguridad. La implantación de una sólida plataforma de detección y respuesta a amenazas dentro de los SOC puede ayudar a identificar y mitigar las vulnerabilidades relacionadas con la AMF, mejorando la seguridad general.

¿Qué importancia tiene la actualización periódica de la información de las cuentas en la seguridad digital?

Actualizar periódicamente la información de las cuentas, incluidos los números de teléfono, ayuda a evitar accesos no autorizados. Si un número de teléfono antiguo sigue vinculado a las cuentas, pueden surgir problemas de acceso y posibles infracciones cuando el número se reasigna a un nuevo usuario.

¿Cómo pueden las empresas fomentar una cultura de concienciación sobre la seguridad entre sus empleados?

Las empresas pueden:

Impartir periódicamente programas de formación y concienciación en materia de seguridad.
Fomentar las mejores prácticas de seguridad digital.
Promover el uso de métodos de AMF sólidos y la supervisión periódica de las actividades de las cuentas.
Asegúrese de que los empleados comprenden los riesgos y están alerta ante posibles amenazas.

La aplicación de estas medidas y el mantenimiento de un enfoque proactivo de la seguridad digital pueden reducir significativamente los riesgos asociados a la AMF basada en SMS.