AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Empresas

Microsoft alerta sobre cambios en la autenticación con llaves FIDO2 tras actualizaciones de Windows

admin

Introducción

Microsoft ha emitido una advertencia dirigida a los profesionales de TI y usuarios avanzados sobre modificaciones significativas en el flujo de autenticación con llaves de seguridad FIDO2 tras la reciente oleada de actualizaciones de Windows, incluidas las distribuidas desde la actualización preliminar de septiembre de 2023. Este cambio ha provocado que, en determinados escenarios, los usuarios sean requeridos a introducir un PIN adicional al utilizar llaves FIDO2 para autenticarse en sus cuentas de Microsoft y servicios asociados. La alerta resulta especialmente relevante para responsables de seguridad, administradores de sistemas y equipos SOC encargados de la gestión de identidades, ya que puede afectar tanto a la experiencia de usuario como a las políticas de seguridad implementadas en entornos corporativos.

Contexto del Incidente

El uso de llaves FIDO2 como factor de autenticación fuerte ha ganado una notable tracción en las organizaciones, dado su potencial para reducir la superficie de ataque de credenciales y phishing. Desde la introducción de Windows Hello for Business y la integración con Microsoft Entra ID (antes Azure AD), las llaves FIDO2 son ampliamente empleadas en esquemas de autenticación passwordless en entornos empresariales.

No obstante, tras la liberación de actualizaciones acumulativas mensuales de Windows –en particular desde la KB5030310 de septiembre de 2023 y las sucesivas hasta las correspondientes a junio de 2024–, Microsoft ha identificado un cambio en el comportamiento del proceso de autenticación. Usuarios que emplean llaves FIDO2, tanto en dispositivos administrados como personales, pueden experimentar solicitudes inesperadas para introducir un PIN de la llave, incluso en escenarios donde antes no era requerido, como el acceso a cuentas Microsoft personales o corporativas a través de Edge, Chrome, o el propio inicio de sesión en Windows.

Detalles Técnicos

El mecanismo FIDO2 (Fast Identity Online 2) utiliza autenticadores hardware –como Yubikey, Feitian, SoloKey, entre otros– que soportan los protocolos WebAuthn y CTAP2. El flujo típico implica la generación de credenciales asimétricas almacenadas en la llave, con validación local mediante PIN o biometría.

Tras las actualizaciones mencionadas, se ha documentado un cambio en la lógica de validación: el sistema operativo ahora fuerza la comprobación del PIN localmente en la llave, incluso si la política de la organización no lo requería de forma explícita para determinados dominios o aplicaciones. No se ha reportado, hasta la fecha, ninguna vulnerabilidad explotada (no existe asignación de CVE asociada), pero sí se ha confirmado un comportamiento consistente que puede interferir con procesos de Single Sign-On (SSO) y flujos passwordless personalizados.

En términos de MITRE ATT&CK, este cambio afecta principalmente a las técnicas asociadas a la autenticación multifactor (T1111: Multi-Factor Authentication Interception), aunque no se trata de un bypass de seguridad, sino de un endurecimiento inesperado del proceso de autenticación.

Entre los indicadores de compromiso (IoC) relevantes para entornos SIEM/SOC, se recomienda monitorizar eventos de autenticación fallida o repetida en registros de Microsoft Entra ID y Windows Event Viewer (códigos 4625, 4624, 4648), asociados a intentos de autenticación con FIDO2.

Impacto y Riesgos

El impacto directo es doble: por un lado, puede incrementar la fricción para los usuarios finales, elevando el riesgo de tickets de soporte y reducción de productividad; por otro, puede provocar confusión respecto a la correcta configuración de políticas passwordless, especialmente en entornos con políticas de acceso condicional.

En sectores regulados (finanzas, sanidad, industria crítica), donde la autenticación fuerte es un requisito de cumplimiento bajo GDPR, NIS2 y normativas sectoriales, este tipo de cambios inesperados puede suponer un riesgo de incumplimiento si los procesos de acceso no se ajustan a los requisitos documentados. Además, en entornos con fuerte dependencia de automatización y scripting, la introducción de un paso adicional en la autenticación puede causar fallos en procesos automatizados sensibles.

Medidas de Mitigación y Recomendaciones

Microsoft recomienda a los administradores de sistemas y responsables de seguridad:

– Comunicar proactivamente a los usuarios el posible cambio de experiencia durante la autenticación con llaves FIDO2.
– Revisar y actualizar la documentación interna sobre los flujos de autenticación en la organización.
– Monitorizar los eventos de autenticación y errores relacionados tras la aplicación de actualizaciones de Windows.
– Evaluar la necesidad de revertir temporalmente a otros factores de autenticación en casos críticos, hasta que se adapte la política de usuario.
– Mantenerse atentos a nuevas actualizaciones de Microsoft, ya que la compañía está trabajando en parches que permitan mayor granularidad en la configuración del PIN para llaves FIDO2.

Opinión de Expertos

Especialistas en gestión de identidades y autenticación, como Alex Simons (Microsoft Identity Division), han señalado que este endurecimiento responde a tendencias globales de refuerzo en autenticación multifactor y reducción de ataques de relay o phishing avanzado. Sin embargo, expertos independientes advierten que cambios bruscos en mecanismos de autenticación pueden generar frustración y, en el peor de los casos, incentivos para buscar “atajos” o prácticas inseguras por parte de usuarios.

Implicaciones para Empresas y Usuarios

Las organizaciones deben prepararse para un entorno cada vez más dinámico en la gestión de autenticación, donde proveedores como Microsoft pueden modificar los flujos y requisitos en función de mejoras de seguridad. Es crucial contar con procedimientos ágiles para adaptar y comunicar cambios, así como con estrategias de formación continua para usuarios y equipos técnicos. Desde una perspectiva de cumplimiento, es recomendable revisar los acuerdos de nivel de servicio (SLA) y los procesos de auditoría tras cualquier cambio relevante en la cadena de autenticación.

Conclusiones

La advertencia de Microsoft sobre el comportamiento de las llaves FIDO2 subraya la necesidad de un enfoque proactivo en la gestión de identidades y autenticación. Los equipos de seguridad deben anticipar posibles impactos en la experiencia de usuario y en los requisitos regulatorios, y estar preparados para adaptar sus procesos ante futuros cambios en los proveedores de tecnología. La tendencia hacia una autenticación más fuerte y resistente a ataques es positiva, pero exige una gestión del cambio cuidadosa y estratégica.

(Fuente: www.bleepingcomputer.com)