AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

**Nueva campaña de phishing abusa del MFA con códigos QR para eludir protecciones FIDO**

admin

### 1. Introducción

En el ámbito de la ciberseguridad corporativa, las soluciones de autenticación fuerte como FIDO (Fast Identity Online) han supuesto un avance significativo frente al phishing. Sin embargo, investigadores han detectado una sofisticada campaña de phishing que utiliza códigos QR como vector para burlar precisamente estos controles, explotando la confianza generada por los flujos de autenticación multifactor (MFA). Este ataque representa una evolución preocupante en la ingeniería social y los métodos para el robo de credenciales, especialmente en entornos empresariales donde la protección MFA es estándar.

### 2. Contexto del Incidente o Vulnerabilidad

El ataque fue identificado a finales del primer semestre de 2024 y se dirige principalmente a empleados de grandes corporaciones con políticas avanzadas de autenticación, especialmente aquellas que han adoptado FIDO2/WebAuthn para el acceso a recursos críticos. A diferencia de campañas previas, los actores maliciosos no intentan capturar credenciales directamente, sino que simulan un proceso legítimo de autenticación multifactor, presentando un código QR que, al ser escaneado, compromete el acceso del usuario.

La sofisticación reside en el abuso de la creciente adopción de autenticación sin contraseña y de tokens físicos o biométricos, que hasta ahora se consideraban barreras efectivas contra el phishing convencional. Esta técnica se ha observado en campañas dirigidas a entornos Microsoft 365, Google Workspace y aplicaciones SaaS críticas, en línea con la tendencia detectada por ENISA y el NCSC de Reino Unido sobre el aumento de ataques dirigidos a MFA.

### 3. Detalles Técnicos

El vector principal de ataque es el envío de correos electrónicos de phishing cuidadosamente elaborados que simulan notificaciones legítimas de acceso o advertencias de seguridad. El usuario es dirigido a una página clonada del proveedor de identidad (IdP), implementada mediante frameworks como Evilginx2 o Modlishka, optimizados para proxy inverso y el robo de tokens de sesión.

En el flujo de autenticación, en lugar de solicitar una contraseña o un código OTP, la página maliciosa genera un código QR, supuestamente para vincular una nueva sesión o dispositivo a la cuenta mediante la app de autenticación corporativa (Microsoft Authenticator, Google Authenticator, Duo, etc.). El QR, sin embargo, contiene una URL personalizada y tokenizada que, al ser escaneada, fuerza al dispositivo móvil del usuario a abrir una sesión de autenticación OAuth o SAML en segundo plano, cediendo el control de la sesión al atacante.

#### CVEs y TTPs

– No existe un CVE específico, ya que la vulnerabilidad reside en la manipulación de flujos legítimos y no en un fallo de software concreto.
– TTPs MITRE ATT&CK relevantes:
– T1566.001 (Phishing: Spearphishing Attachment)
– T1110 (Brute Force)
– T1556 (Modify Authentication Process)
– T1078 (Valid Accounts)
– Indicadores de compromiso (IoC):
– Dominios typosquatting imitando a IdPs
– Redirecciones a través de servicios legítimos (ngrok, Cloudflare Workers)
– Uso de certificados TLS válidos para aumentar la credibilidad

Existen PoCs públicos en GitHub y se han reportado adaptaciones de módulos en Metasploit y Cobalt Strike para automatizar la entrega de QR y la captura de tokens de sesión.

### 4. Impacto y Riesgos

El impacto es significativo: el atacante logra eludir los controles FIDO/WebAuthn, accediendo a sesiones autenticadas sin necesidad de claves físicas ni biometría. Según estimaciones de varios CSIRTs europeos, hasta el 12% de los sistemas protegidos por MFA son susceptibles a este vector si no se implementan protecciones adicionales.

El riesgo es especialmente alto en cuentas con privilegios elevados (administradores, DevOps, finanzas, RRHH), ya que una vez capturada la sesión, el atacante puede moverse lateralmente o escalar privilegios a través de OAuth, comprometiendo datos sensibles y recursos críticos. El coste medio de un incidente de estas características, según ISACA, supera los 180.000 euros en daños directos e indirectos.

### 5. Medidas de Mitigación y Recomendaciones

Para mitigar este vector, los expertos recomiendan:

– Desplegar detección de proxies inversos y monitorización de anomalías en el flujo de autenticación.
– Habilitar notificaciones push y validación contextual (geolocalización, dispositivo, hora) en los proveedores de MFA.
– Implementar FIDO2 con políticas de atestación estricta y deshabilitar fallback a métodos OTP o QR si es posible.
– Educar a los usuarios sobre la validez de los códigos QR y la importancia de verificar el dominio antes de escanear.
– Revisar logs de autenticación en busca de patrones inusuales (inicios de sesión consecutivos desde diferentes ubicaciones/dispositivos).
– Aplicar Zero Trust y segmentar el acceso a recursos críticos.

### 6. Opinión de Expertos

Según Javier Fernández, CISO de una multinacional española del IBEX35, “este ataque revela que la seguridad no es solo cuestión de tecnología, sino también de cómo se implementan y comunican los procesos. Incluso los controles más robustos pueden verse comprometidos si el usuario se convierte en el eslabón débil”.

María Gómez, analista senior del SOC de una gran entidad bancaria, añade: “Las campañas de QR-phishing están creciendo. La única defensa real es una combinación de monitorización avanzada, respuesta ágil y formación continua del usuario”.

### 7. Implicaciones para Empresas y Usuarios

Las empresas deben revisar urgentemente sus flujos de autenticación y concienciar a sus empleados sobre los riesgos de escanear códigos QR fuera de los canales corporativos. Además, en el contexto del RGPD y la inminente transposición de NIS2, un incidente de este tipo puede acarrear sanciones significativas y la obligación de notificación a la AEPD y las autoridades de ciberseguridad.

El creciente uso de MFA, lejos de eliminar el phishing, obliga a un enfoque de defensa en profundidad. Los usuarios deben asumir que ningún mecanismo es infalible y que la verificación visual y contextual es imprescindible.

### 8. Conclusiones

La aparición de ataques de phishing basados en QR y MFA evidencia la continua adaptación de los ciberdelincuentes a las tendencias de seguridad empresarial. La confianza ciega en soluciones como FIDO debe complementarse con monitorización, formación y políticas de Zero Trust. El sector debe anticipar que cualquier innovación en autenticación será eventualmente objetivo de ingeniería social avanzada.

(Fuente: www.darkreading.com)