Datos presentados por Microsoft en la última edición de la conferencia RCA revelaron que el 99.9% de las cuentas comprometidas que los investigadores monitorean cada mes no utilizan doble factor de autenticación.
Durante su presentación en la RCA, titulada “Breaking Password Dependencies: Challenges in the Final Mile at Microsoft”, Alexander Weinert, Director de Identity Security de Microsoft, junto a Lee Walker, también de Microsoft, explicaron que monitorean 30 mil millones de eventos de inicio de sesión por día y más de mil millones de usuarios activos, donde el 0.5% de estas cuentas son comprometidas mensualmente. Para ser más específico, este 0.5% en el mes de enero de 2020 significó 1.2 millones de cuentas que fueron comprometidas. De esta cifra, el 99.9% no tenía activo el doble factor de autenticación (2FA), lo cual explica que estas cuentas hayan sido comprometidas, ya que en caso de tener activo el 2FA las mismas probablemente no hubieran sido afectadas, explicaron los especialistas. Otro dato interesante es que, pese a la efectividad que tiene el doble factor de autenticación, en enero de 2020 apenas el 11% de los usuarios a nivel empresarial lo utilizaban.
En la mayoría de los casos, el compromiso de dichas cuentas se produjo a través de ataques conocidos como password spraying, donde el atacante elige una cantidad limitada de contraseñas simples y probablemente muy utilizadas para probarlas en combinación con una larga lista de direcciones de correo o nombres de usuario hasta que alguna coincida y así logra acceder a una cuenta. Asimismo, una vez que las contraseñas son adivinadas es muy probable que el atacante pruebe la misma clave en otras cuentas del usuario, ya que, lamentablemente, es común que se reutilicen contraseñas tanto para uso personal como laboral.
La segunda estrategia más utilizada por los atacantes para comprometer cuentas es conocida como password replay y consiste en el uso de contraseñas que fueron filtradas en una brecha para luego utilizarlas en servicios de Microsoft, partiendo de la base de lo que decíamos anteriormente: los usuarios suelen reutilizar la misma combinación de usuario y contraseña en distintos servicios.
Por otra parte, Walker dijo que el 99% de los ataques de password spraying y el 97% de los ataques de password replay apuntan a protocolos de autenticación heredados, como SMTP, IMAP y POP. Esto se explica en el hecho de que los protocolos de autenticación heredados no soportan el doble factor de autenticación. En este sentido, aquellas compañías que dejan habilitados estos protocolos de autenticación heredados para sus sistemas en la nube y para sus redes están expuestos a ataques y deberían deshabilitarlos lo antes posible.
El año pasado un estudio elaborado por Google llegó a conclusiones similares cuando catalogó al doble factor de autenticación como la solución más efectiva parta prevenir el secuestro de cuentas al ser una herramienta capaz de bloquear el 100% de los bots automáticos, el 99% de los ataques de phishing masivos y el 76% de los ataques dirigidos.