Las Passkeys Bajo Amenaza: Nuevas Técnicas de Phishing Superan la Autenticación Moderna

Introducción

En los últimos años, la industria de la ciberseguridad ha apostado fuertemente por las passkeys como solución definitiva frente a los ataques de phishing. Basadas en estándares FIDO y autenticación sin contraseña, muchas organizaciones han migrado sus esquemas de autenticación multifactorial (MFA) a este nuevo paradigma, convencidas de que eliminan el riesgo inherente al robo de credenciales. Sin embargo, recientes incidentes han demostrado que los actores de amenazas están perfeccionando técnicas que les permiten sortear incluso estos controles avanzados. Este artículo realiza un análisis técnico de los vectores emergentes de ataque contra passkeys y MFA modernos, así como de las estrategias de mitigación recomendadas por expertos.

Contexto del Incidente o Vulnerabilidad

El phishing sigue siendo el vector inicial de ataque más común según el último informe de ENISA (2023), responsable de más del 60% de las brechas en Europa. La adopción de passkeys y MFA ha reducido drásticamente la eficacia del phishing tradicional basado en credenciales, pero los atacantes han evolucionado. Han surgido técnicas sofisticadas como los ataques de degradación (downgrade attacks), el phishing mediante device-code en dispositivos no gestionados, y la explotación de flujos OAuth en aplicaciones de terceros. Estas tácticas permiten a los atacantes eludir la autenticación robusta y obtener acceso a recursos corporativos.

Detalles Técnicos

1. Ataques de Degradación (Downgrade Attacks):
Los atacantes manipulan los flujos de autenticación para forzar a la víctima a utilizar métodos MFA menos seguros, como códigos SMS o autenticadores OTP, en lugar de passkeys o WebAuthn. Esto se produce mediante la interceptación y manipulación de solicitudes HTTP(S), aprovechando configuraciones erróneas en servidores o proxies de autenticación. MITRE ATT&CK categoriza esta técnica como T1556 (Modify Authentication Process).

2. Phishing mediante Device-Code:
Los atacantes explotan el flujo OAuth Device Authorization Grant (RFC 8628), común en aplicaciones que no pueden mostrar un navegador (smart TVs, IoT, BYOD). El atacante presenta a la víctima un código de dispositivo legítimo, pero asociado a la sesión controlada por el atacante. Una vez la víctima introduce sus credenciales y aprueba el acceso, el atacante obtiene un token OAuth válido. Herramientas como Evilginx2 y Modlishka han incorporado módulos para simular estos flujos.

3. Explotación de OAuth:
Las campañas recientes abusan de aplicaciones OAuth mal configuradas para solicitar permisos excesivos o suplantar aplicaciones legítimas. Una vez autorizado, el atacante obtiene tokens de acceso persistente, incluso si la contraseña o passkey se rotan posteriormente. Este vector fue clave en el ataque a Microsoft 365 detectado en 2023, donde se emplearon técnicas de consentimiento malicioso (illicit consent grant).

Indicadores de Compromiso (IoC):
– URLs de phishing que simulan dominios de autenticación (typosquatting, lookalike domains).
– Solicitudes de autenticación con cambios en los campos ‘prompt’ o ‘scope’ de OAuth.
– Logs de autenticación con cambios inesperados en el método MFA utilizado (downgrade).
– Tokens OAuth emitidos para aplicaciones desconocidas o no gestionadas.

Impacto y Riesgos

El impacto de estos ataques es considerable. Según datos de Verizon DBIR 2023, el 15% de las brechas MFA implicaron bypass mediante OAuth u otros vectores no convencionales. Los ataques de degradación pueden anular la inversión en autenticación avanzada, exponiendo a la organización a robo de datos, acceso persistente y movimientos laterales. Además, la explotación de OAuth permite la persistencia sin interacción adicional del usuario, complicando la detección y respuesta.

Las pérdidas asociadas pueden superar los 4 millones de euros por incidente en grandes empresas, además de las sanciones regulatorias bajo GDPR y la inminente NIS2, que exige controles técnicos y organizativos robustos frente a ataques de ingeniería social y MFA.

Medidas de Mitigación y Recomendaciones

– Implementar políticas de MFA estrictas, priorizando métodos resistentes al phishing (passkeys, FIDO2, WebAuthn) y deshabilitando alternativas menos seguras.
– Monitorizar y alertar sobre cambios en los flujos de autenticación y métodos de MFA utilizados.
– Utilizar soluciones de detección de OAuth maliciosos y revocación automatizada de permisos sospechosos.
– Realizar campañas de concienciación específicas sobre phishing basado en device-code y flujos OAuth.
– Revisar y restringir el registro de aplicaciones OAuth de terceros en los entornos cloud (Microsoft Entra, Google Workspace).
– Integrar detección de anomalías en el SIEM, correlando logs de autenticación y eventos OAuth.

Opinión de Expertos

Rik Ferguson, vicepresidente de seguridad en Forescout, advierte: “El mito de la invulnerabilidad de las passkeys es peligroso. Los atacantes siempre buscan el eslabón más débil, y la explotación de flujos OAuth o el downgrade a MFA legacy demuestra que ningún sistema es infalible. La supervisión continua y la defensa en profundidad son esenciales.”

Implicaciones para Empresas y Usuarios

Las organizaciones deben revisar sus políticas de autenticación y no confiar únicamente en la tecnología. El cumplimiento de GDPR y NIS2 obliga a demostrar la robustez de los controles MFA y la capacidad de detectar y responder a ataques avanzados. Los usuarios, por su parte, deben ser formados para identificar nuevos vectores de phishing que ya no buscan robar contraseñas, sino tokens o consentimiento OAuth.

Conclusiones

La evolución del phishing demuestra que la seguridad nunca es absoluta. Aunque las passkeys y MFA avanzados son barreras efectivas, los atacantes ya han encontrado métodos para eludirlos. Solo la combinación de controles técnicos, monitorización proactiva y formación continua permitirá a las organizaciones anticiparse a estas amenazas emergentes y cumplir con las exigencias regulatorias actuales.

(Fuente: www.bleepingcomputer.com)