AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

**Ciberdelincuentes eluden la autenticación en dos pasos mediante ataques Adversary-in-the-Middle**

### 1. Introducción

La autenticación en dos factores (2FA) se ha convertido en un estándar de seguridad para proteger el acceso a cuentas críticas, tanto personales como corporativas. Sin embargo, la rápida evolución de las tácticas de los ciberdelincuentes está poniendo en entredicho la eficacia de estos mecanismos. En los últimos meses, se ha registrado un aumento significativo de ataques Adversary-in-the-Middle (AitM), capaces de eludir la 2FA y facilitar el secuestro de cuentas, afectando a organizaciones de todos los sectores, especialmente a aquellas sometidas a regulaciones estrictas como el GDPR o la directiva NIS2.

### 2. Contexto del Incidente o Vulnerabilidad

El auge del teletrabajo, la proliferación de servicios en la nube y la adopción generalizada de 2FA han llevado a los actores de amenazas a perfeccionar técnicas para sortear esta barrera adicional. Los ataques AitM no son nuevos, pero su sofisticación actual, unida a kits de phishing como Evilginx2, Modlishka o Muraena, ha disparado su uso en campañas dirigidas (spear phishing) y ataques masivos. Entre las víctimas más recientes se encuentran grandes entidades financieras, compañías tecnológicas y administraciones públicas, donde los incidentes han derivado en accesos no autorizados, robo de información confidencial y compromiso de infraestructuras críticas.

### 3. Detalles Técnicos (CVE, vectores de ataque, TTP MITRE ATT&CK, IoC…)

Los ataques Adversary-in-the-Middle explotan la confianza del usuario en los procesos de autenticación, interponiendo un proxy malicioso entre la víctima y el servicio legítimo. El flujo típico implica enviar al usuario un enlace de phishing que simula la página real del proveedor de servicios (por ejemplo, Office365, Google Workspace, AWS). Al introducir sus credenciales y el código 2FA, el proxy AitM intercepta ambos y los reenvía en tiempo real al servicio legítimo, obteniendo así una sesión autenticada (generalmente mediante cookies de sesión o tokens JWT).

Las técnicas asociadas están documentadas bajo el MITRE ATT&CK Framework, concretamente en los apartados **T1557 (Man-in-the-Middle)** y **T1111 (Two-Factor Authentication Interception)**. Los IOCs incluyen dominios de phishing con homógrafos, certificados TLS válidos obtenidos mediante Let’s Encrypt y patrones de tráfico HTTP(S) anómalos. Las versiones afectadas varían según el servicio, pero destacan aquellos que permiten la reutilización de tokens de sesión o carecen de validación adicional post-2FA.

Ciertas vulnerabilidades (CVE-2022-23491, CVE-2023-26360, entre otras) han facilitado la automatización de estos ataques, si bien el vector principal sigue siendo el phishing avanzado. Herramientas como Evilginx2 se integran fácilmente con frameworks de explotación (Metasploit, Cobalt Strike) para escalar privilegios tras el acceso inicial.

### 4. Impacto y Riesgos

El impacto de los ataques AitM es considerable: según datos recientes, el 18% de las organizaciones que sufrieron ataques de phishing en 2023 reportaron brechas que involucraron eludir la 2FA. El acceso no autorizado puede derivar en robo de propiedad intelectual, acceso a sistemas internos, extorsión y movimientos laterales dentro de la red corporativa. En el ámbito financiero, se han documentado pérdidas superiores a 120 millones de euros en los últimos 12 meses asociadas a fraudes cometidos tras el secuestro de cuentas protegidas con 2FA.

Además, la exposición de datos personales puede implicar sanciones severas bajo el Reglamento General de Protección de Datos (GDPR), con multas de hasta el 4% de la facturación global anual, así como incumplimientos de la directiva NIS2 para operadores de servicios esenciales.

### 5. Medidas de Mitigación y Recomendaciones

Para mitigar el riesgo de ataques AitM, los expertos recomiendan:

– Implementar autenticación robusta basada en hardware (FIDO2, U2F), que es resistente a la interceptación de tokens.
– Activar mecanismos de protección de sesión, como la vinculación de tokens a parámetros de dispositivo (Device Binding) o la utilización de tokens de acceso de un solo uso.
– Monitorizar y bloquear dominios sospechosos y certificados TLS emitidos para variantes de dominios corporativos.
– Formar al personal en la detección de ataques de phishing avanzados y fomentar el uso de gestores de contraseñas que no autocompleten en sitios no verificados.
– Aplicar políticas de Zero Trust y segmentación de redes para limitar la movilidad lateral tras un acceso fraudulento.
– Integrar soluciones de detección y respuesta (EDR/XDR) capaces de identificar patrones de autenticación anómalos y accesos desde ubicaciones o dispositivos inusuales.

### 6. Opinión de Expertos

Andrés López, CISO en una multinacional tecnológica, señala: “La 2FA basada en SMS o aplicaciones OTP ya no es suficiente frente a los ataques AitM. Es imprescindible evolucionar a métodos como WebAuthn y combinar autenticación adaptativa con controles de comportamiento”. Por su parte, Marta Ruiz, analista senior en un SOC europeo, recalca: “Detectar proxies AitM requiere correlación avanzada y visibilidad sobre los endpoints. Las campañas actuales utilizan infraestructuras efímeras y técnicas de evasión que desafían los enfoques tradicionales basados en listas negras”.

### 7. Implicaciones para Empresas y Usuarios

La creciente sofisticación de los ataques Adversary-in-the-Middle obliga a las empresas a revisar sus estrategias de autenticación y concienciación. No basta con desplegar 2FA de manera genérica; es necesario apostar por autenticadores resistentes al phishing, implementar alertas contextuales y revisar la gestión de sesiones. Para los usuarios, confiar únicamente en la 2FA tradicional puede generar una falsa sensación de seguridad. Es esencial permanecer alerta ante intentos de phishing cada vez más creíbles y personalizar las notificaciones de acceso.

### 8. Conclusiones

Los ataques AitM marcan un punto de inflexión en la seguridad de la autenticación multifactor. La barrera de la 2FA, considerada hasta hace poco un estándar de protección fiable, ya no es suficiente frente a amenazas que combinan ingeniería social, proxys maliciosos y automatización. La adopción de tecnologías avanzadas y el refuerzo de las políticas de concienciación resultan vitales para minimizar el riesgo de secuestro de cuentas y el impacto económico, legal y reputacional asociado.

(Fuente: www.kaspersky.com)