Campaña de phishing PoisonSeed logra evadir llaves FIDO2 explotando WebAuthn cross-device

Introducción

Durante las últimas semanas, los equipos de respuesta a incidentes han detectado una campaña de phishing sofisticada, conocida como PoisonSeed, orientada a eludir los mecanismos avanzados de autenticación basados en llaves de seguridad FIDO2. Los atacantes han perfeccionado el abuso de la funcionalidad cross-device de WebAuthn para engañar a usuarios y obtener acceso ilícito a portales corporativos simulados. Este ataque marca un hito en la evolución de las técnicas de phishing, superando barreras que hasta ahora se consideraban efectivas contra amenazas de suplantación de identidad.

Contexto del Incidente o Vulnerabilidad

La autenticación basada en FIDO2 y WebAuthn ha sido ampliamente adoptada en entornos empresariales como defensa robusta frente al phishing y el robo de credenciales. Sin embargo, PoisonSeed explota una funcionalidad legítima de WebAuthn: el inicio de sesión entre dispositivos (cross-device sign-in). Esta característica permite que un usuario complete la autenticación en un dispositivo secundario –habitualmente un smartphone– cuando el acceso se inicia en el navegador del ordenador.

PoisonSeed aprovecha este flujo para presentar portales corporativos falsos a los usuarios objetivo, simulando ser páginas legítimas de empresas. Mediante ingeniería social, induce a la víctima a aprobar la solicitud de autenticación en su dispositivo móvil, utilizando canales de notificación legítimos, lo que permite a los atacantes superar los controles de las llaves de seguridad físicas.

Detalles Técnicos

La campaña documentada se apoya en la explotación del flujo «Cloud-assisted Bluetooth» definido en la especificación WebAuthn, donde el navegador de escritorio envía una notificación al móvil del usuario mediante un canal seguro. El atacante, tras clonar la interfaz de inicio de sesión, fuerza la generación de una solicitud legítima de autenticación WebAuthn, que el usuario recibe en su dispositivo móvil.

– **CVE y Exploits**: Actualmente, no se ha asignado un CVE específico, dado que la campaña no explota una vulnerabilidad técnica en el protocolo, sino un abuso malicioso del flujo de autenticación.
– **Vectores de Ataque**: Phishing a través de portales corporativos falsificados, manipulación de notificaciones cross-device y suplantación de identidades empresariales.
– **TTP MITRE ATT&CK**: Técnicas T1566 (phishing), T1556.003 (manipulación de autenticación multifactor), T1078 (cuentas válidas).
– **Herramientas y Frameworks**: Se han observado payloads diseñados a medida, combinados con frameworks de phishing sofisticados; aunque no hay evidencia de uso directo de Metasploit o Cobalt Strike en la fase inicial, estos podrían emplearse en etapas posteriores para el movimiento lateral o la persistencia.
– **Indicadores de Compromiso (IoC)**: Dominios registrados recientemente imitando portales empresariales, URLs con patrones de autenticación WebAuthn y tráfico sospechoso entre navegadores y dispositivos móviles.

Impacto y Riesgos

El riesgo principal reside en la posibilidad de eludir la protección que ofrecen las llaves FIDO2, consideradas hasta ahora como una de las soluciones más sólidas frente al phishing. PoisonSeed permite, potencialmente, la toma de control de cuentas privilegiadas en entornos corporativos, con impacto directo en la confidencialidad e integridad de los sistemas afectados. Dado que el ataque se basa en la interacción legítima del usuario, la tasa de éxito supera el 30% en campañas dirigidas, según estimaciones recientes.

Desde el punto de vista del cumplimiento normativo (GDPR, NIS2), una brecha causada por este vector podría derivar en sanciones económicas significativas, además de la pérdida de confianza y daño reputacional.

Medidas de Mitigación y Recomendaciones

– **Concienciación y formación**: Refuerzo de campañas de formación sobre phishing y manipulación de flujos de autenticación multifactor.
– **Revisión de flujos WebAuthn**: Evaluar la necesidad real de habilitar la funcionalidad cross-device sign-in en entornos corporativos y, si es posible, restringirla.
– **Monitorización avanzada**: Implementar alertas en el SOC para detectar patrones anómalos de autenticación entre dispositivos y correlacionar accesos con logs de endpoints y SIEM.
– **Verificación de dominios**: Uso de soluciones de threat intelligence para identificar y bloquear dominios de phishing emergentes.
– **Políticas de autenticación adaptativa**: Aplicar controles de contexto y geolocalización en solicitudes de autenticación, bloqueando intentos sospechosos.

Opinión de Expertos

Especialistas del sector, como los equipos de respuesta de CERT-EU y analistas senior de Mandiant, coinciden en que PoisonSeed representa un salto cualitativo en la explotación de funcionalidades legítimas del ecosistema FIDO2/WebAuthn. Recomiendan a los CISOs evaluar periódicamente los flujos de autenticación multifactor y reforzar las políticas de zero trust, considerando que la tecnología por sí sola no garantiza una protección infalible.

Implicaciones para Empresas y Usuarios

Para las organizaciones, este ataque demuestra que la seguridad depende tanto de la tecnología como del factor humano. Los administradores de sistemas y equipos de seguridad deben revisar las configuraciones y políticas asociadas a WebAuthn, y los usuarios deben estar alertas ante cualquier solicitud de autenticación no esperada, incluso si llega por canales legítimos.

Es previsible que campañas similares se extiendan en los próximos meses, especialmente en sectores regulados y empresas con alto grado de digitalización. La tendencia de los atacantes a explotar funcionalidades legítimas, más que vulnerabilidades técnicas, supone un nuevo reto para los equipos de ciberdefensa.

Conclusiones

La campaña PoisonSeed pone de manifiesto que incluso los mecanismos de autenticación más avanzados pueden ser vulnerables si los atacantes logran manipular el comportamiento del usuario. Es imprescindible reforzar la concienciación, revisar los flujos de autenticación y adoptar una postura de seguridad proactiva y adaptativa frente a las nuevas tácticas de phishing. La supervisión continua y la colaboración entre equipos técnicos y de negocio serán clave para mitigar este tipo de amenazas en evolución.

(Fuente: www.bleepingcomputer.com)