La autenticación FIDO bajo amenaza: ataque de degradación expone a organizaciones a riesgos AiTM

Introducción

La autenticación FIDO (Fast Identity Online) se ha consolidado como uno de los estándares más robustos para eliminar contraseñas y fortalecer la seguridad de accesos digitales. Sin embargo, recientes investigaciones técnicas han puesto de manifiesto una vulnerabilidad crítica vinculada a un ataque de degradación, capaz de eludir el mecanismo de autenticación sin contraseña y abrir la puerta a amenazas de intermediario (Adversary-in-the-Middle, AiTM). Este hallazgo, detallado por el equipo de Proofpoint, supone un serio desafío para la confianza depositada en FIDO, especialmente en entornos corporativos donde la protección de credenciales es prioritaria.

Contexto del Incidente

FIDO, impulsado por la FIDO Alliance y adoptado por gigantes tecnológicos como Google, Microsoft y Apple, se ha convertido en la piedra angular de la autenticación moderna gracias a su resistencia contra el phishing y los ataques de repetición. Su funcionamiento se basa en criptografía de clave pública, donde el secreto privado nunca abandona el dispositivo del usuario. Sin embargo, el desarrollo de nuevas técnicas de ataque orientadas a la degradación del flujo de autenticación está haciendo tambalear la percepción de invulnerabilidad de este estándar.

Proofpoint ha identificado que, en determinados navegadores web y bajo ciertas configuraciones, un actor malicioso podría forzar la degradación del proceso FIDO a métodos de autenticación menos seguros, como contraseñas tradicionales o códigos OTP, exponiendo así los sistemas a ataques AiTM y comprometiendo el propósito original de FIDO.

Detalles Técnicos

El vector de ataque se fundamenta en explotar la falta de robustez en la gestión de políticas de autenticación por parte de algunos navegadores web. Los atacantes pueden interceptar o manipular las peticiones de autenticación FIDO, forzando la “degradación” a métodos alternativos permitidos por la propia plataforma, como contraseñas o autenticación basada en SMS. Esta técnica se apoya en TTPs recogidas en el marco MITRE ATT&CK, concretamente en las tácticas T1556 (Manipulación de Credenciales) y T1110 (Ataques de Fuerza Bruta).

Según los detalles publicados, no existe todavía un CVE asignado oficialmente, pero el ataque se ha demostrado efectivo en entornos donde la política de autenticación admite fallback a métodos heredados. La explotación puede automatizarse mediante frameworks como Evilginx2, ampliamente utilizado para ataques AiTM y capaz de interceptar la comunicación autenticada en tiempo real, robando sesiones válidas.

Indicadores de Compromiso (IoC):
– Solicitudes HTTP/S inusuales que modifican el flujo de autenticación.
– Redirecciones sospechosas a flujos de login alternativos.
– Uso de dominios falsificados en portales de autenticación.
– Errores o logs que evidencian la no utilización del protocolo WebAuthn.

Impacto y Riesgos

El principal riesgo reside en la posibilidad de que un atacante suplante la identidad del usuario incluso en entornos FIDO, esquivando la barrera del phishing-resistance. Según datos de Proofpoint, hasta un 28% de los portales empresariales con FIDO activado permiten fallback a métodos menos seguros, lo que amplía considerablemente la superficie de ataque.

El impacto potencial abarca la toma de control de cuentas privilegiadas, escalada de privilegios, movimiento lateral en la red y exfiltración de datos sensibles. En sectores críticos –financiero, sanitario, administración pública– la explotación de esta vulnerabilidad podría comprometer la conformidad con normativas como GDPR y NIS2, exponiendo a las organizaciones a sanciones económicas y daño reputacional.

Medidas de Mitigación y Recomendaciones

Proofpoint y otros expertos recomiendan las siguientes acciones:
– Deshabilitar por completo los métodos de autenticación heredados allí donde sea posible.
– Configurar políticas de autenticación estrictas en el servidor de identidad y en los navegadores, forzando exclusivamente el uso de FIDO/WebAuthn.
– Monitorizar logs y eventos de autenticación en busca de intentos de degradación o flujos anómalos.
– Actualizar los navegadores y plataformas de autenticación a las últimas versiones, pendientes de parches específicos.
– Formar a los usuarios para que reconozcan flujos de login sospechosos y refuercen la cultura de la ciberseguridad.

Opinión de Expertos

Especialistas en ciberseguridad como Kevin Mitnick (KnowBe4) y Eva Galperin (EFF) coinciden en que la seguridad de la autenticación no solo depende del estándar, sino de la correcta implementación y la eliminación de alternativas menos seguras. “Mientras las plataformas sigan permitiendo regresiones a métodos obsoletos, la promesa de una autenticación sin contraseñas será solo parcial”, advierte Galperin.

Por su parte, CERT-EU ha emitido alertas sobre la necesidad de revisar las políticas de fallback y fortalecer la vigilancia sobre los flujos de autenticación en aplicaciones críticas.

Implicaciones para Empresas y Usuarios

Para las empresas, este incidente subraya la urgencia de auditar sus sistemas de autenticación y eliminar configuraciones que permitan la degradación. La adopción de FIDO debe ir acompañada de una gobernanza estricta y una gestión proactiva de riesgos. Los usuarios, por su parte, deben ser conscientes de los riesgos asociados a los métodos alternativos y exigir soluciones que no permitan regresiones.

Conclusiones

La aparente invulnerabilidad de la autenticación FIDO queda en entredicho ante la sofisticación de los ataques de degradación. Este incidente pone de relieve la necesidad de una implementación rigurosa y de una monitorización continua para mantener la resistencia frente a amenazas AiTM. El futuro de la autenticación sin contraseñas dependerá de la capacidad de la industria para cerrar estos vectores y promover una adopción segura y sin fisuras.

(Fuente: www.cybersecuritynews.es)