Atacantes lograron eludir la autenticación multifactor

Cuando de buenas prácticas para la protección de nuestra presencia en línea se trata, ustedes saben que mi principal recomendación es habilitar la autenticación multifactor (doble factor de autenticación, o autenticación de dos pasos). Pero los atacantes siempre se las ingenian, y esta vez lograron engañar a los usuarios para hacerse del código temporal (token) necesario para completar la autenticación multifactor. Un reporte publicado hace apenas algunas horas por Aministía Internacional muestra en detalle cómo se dieron estos ataques a cuentas de usuarios de Gmail y Yahoo, incluso a aquellos con autenticación multifactor habilitada. Las víctimas eran dirigidas a un sitio apócrifo, idéntico al de inicio de sesión de Gmail o de Yahoo, técnica conocida como phishing. Una vez que el usuario ingresaba su dirección de e-mail y contraseña, la misma infraestructura en la que el sitio falso estaba almacenada realizaba el intento de inicio de sesión en el servicio real. Si éste requeria la utilización de un factor adicional, lo notificaba al sitio apócrifo para que éste se lo requiriera al usuario. Una vez que la víctima ingresaba el token, el atacante obtenía acceso a la cuenta real. En algunos casos se detectó incluso que el atacante había generado …

Read moreAtacantes lograron eludir la autenticación multifactor

Las cuentas Microsoft ahora soportan autenticación sin contraseña mediante dispositivos FIDO 2

Microsoft y Yubico anunciaron esta semana que los usuarios de cuentas Microsoft (aquellas con dominio terminado en msn.com, hotmail.com, outlook.com, etc.) podrán iniciar sesión sin necesidad de ingresar una contraseña. Simplemente deberán insertar un dispositivo compatible con el estándar FIDO2/WebAuthn, como la YubiKey 5. Los usuarios de Office 365 deberán esperar unos meses más. Hace ya algunos años que Microsoft viene trabajando en su estrategia de inicio de sesión sin contraseñas -passwordless-. La aprobación de inicio de sesión a través de las notificaciones push de su aplicación Microsoft Authenticator son un gran ejemplo. El usuario ingresa su dirección de e-mail, presiona Siguiente y aprueba el inicio de sesión desde su teléfono o wearable. Pero ahora le llegó la oportunidad a las llaves de autenticación. En este post hablaba sobre las diferentes formas de autenticación multifactor y mencionaba las dos llaves de autenticación más populares, la YubiKey y la Titan -de Google-. Estas llaves trabajan con el estandar U2F, entre otros. Cuando conectamos por primera vez una llave U2F -o Universal Second Factor, por sus siglas en inglés- para asociarla con un sitio, ésta genera una clave pública y una privada (encriptada). La clave pública es enviada al proveedor de autenticación …

Read moreLas cuentas Microsoft ahora soportan autenticación sin contraseña mediante dispositivos FIDO 2

Qué pasa cuando la autenticación multifactor falla

El lunes 19 de Noviembre, alrededor de las 04:39 UTC, usuarios de los servicios de Office 365 y Azure alrededor del mundo comenzaron a experimentar problemas para iniciar sesión en sus cuentas. Al intentarlo, luego de ingresar la dirección de e-mail de la organización y la contraseña, se podía observar la clásica página de inicio de sesión aguardando la aprobación multifactor o el ingreso del token de seis dígitos. Para el caso de la aprobación, el pedido nunca llegaba a la aplicación Microsoft Authenticator. Los tokens, por su parte, directamente no funcionaban, y los SMS no llegaban al usuario. La página de estado de Office 365 informó acerca de la situación mediante la notificación de servicio MO165510 -que llegó unas cuantas horas más tarde de lo esperado– en la que confirmaban que los usuarios con MFA (autenticación multifactor, por su nombre en inglés) habilitado podrían tener problemas para iniciar sesión. Y esto es lo que se veía en la página de estado de los servicios de Azure alrededor de las 10 AM hora Argentina. ¿Deshabilitar o no deshabilitar MFA? Es un tema complejo. Definitivamente los administradores de Office 365 y Azure AD debieron haberse visto presionados por los usuarios -especialmente por los high-profile– …

Read moreQué pasa cuando la autenticación multifactor falla

Por qué no es una buena idea reutilizar contraseñas (el caso HSBC)

Hace pocos días uno de los bancos más grandes el mundo, HSBC, confirmó que algunos de sus clientes en los Estados Unidos fueron víctimas de un ataque conocido como credential stuffing. Este tipo de ataque utiliza nombres de usuario y contraseñas previamente comprometidos para obtener acceso a otros servicios. En respuesta a la BBC, el banco informó: HSBC lamenta este incidente, y tomamos la responsabilidad de proteger a nuestros clientes muy en serio. Hemos notificado a los clientes cuyas cuentas han podido ser víctimas de este acceso no autorizado, y les hemos ofrecido un año de servicio de monitoreo de crédito –credit monitoring- y protección de robo de identidad -identity theft protection-. HSBC confirmó que las cuentas de los clientes fueron accedidas durante los primeros quince días del mes de Octubre, y que la violación de datos incluyó nombres y apellidos de los clientes, su dirección postal, números de teléfonos, direcciones de e-mail, fecha de nacimiento, número y tipo de cuenta, historial de transacciones y saldo de sus cuentas. Responsabilidad compartida Podríamos culpar al usuario por haber reutilizado las contraseñas, pero también al banco por no haber implementado los mecanismos de seguridad necesarios para prevenir este tipo de hechos (autenticación …

Read morePor qué no es una buena idea reutilizar contraseñas (el caso HSBC)

¿Cómo funciona la autenticación multifactor?

Esta es la tercera de una serie de entregas dedicadas a temas de seguridad en Internet y cómo incrementar nuestro escudo protector cuando estamos en línea. En la primera hablamos sobre los administradores de contraseñas y en la segunda sobre las -cada vez más populares- violaciones de datos. Hoy vamos a hablar sobre el doble factor de autenticación, también conocido como two factor authentication, 2FA, o MFA -multi factor authentication-, por sus siglas en inglés. El concepto de doble factor de autenticación (aunque algunos lo llaman autenticación de dos pasos, pero eso lo vamos a hablar más adelante) dice que el usuario debe ser “desafiado” a utilizar dos mecanismos de autenticación entre los siguientes tres: Algo que sabés Algo que tenés Algo que sos Algo que sabés suele ser tu contraseña, y este es el primer factor de autenticación que usamos en todos lados. Algo que sos podría ser tu huella digital, reconocimiento facial, de retina, entre otros. Pero vamos a hablar del segundo mecanismo de autenticación más utilizado en el mundo: algo que tenés. Algo que tenés puede ser una tarjeta inteligente –smart card-, una llave de autenticación (como las YubiKey) o un token (físico o virtual). Para que …

Read more¿Cómo funciona la autenticación multifactor?

¿Alguna vez te preguntaste si tu e-mail podría estar comprometido por culpa de una violación de datos a terceros?

Esta es la segunda de una serie de entregas dedicada a temas de seguridad en Internet y cómo incrementar nuestro escudo protector cuando estamos en línea. En la primera hablamos sobre los administradores de contraseñas. Las violaciones de datos (data breach, por sus siglas en inglés) son cada vez más comunes y no solo afectan a usuarios domésticos, sino a empresas de todo tipo y hasta a organismos de gobierno. Definamos violación de datos Una violación de datos es una situación en la que información sensible, confidencial y que debería haber estado protegida cae en manos de terceros quienes, en la mayoría de los casos, tienen propósitos malintencionados. Las violaciones de datos pueden incluir información personal (nombre y apellido, números de identificación (como es el caso del DNI en Argentina), números de tarjetas de crédito, contraseñas, entre otros. Las últimas violaciones de datos de público conocimiento han afectado a gran cantidad de usuarios: Trik Spam Botnet (2018): Más de 43 millones de direcciones comprometidas. Ticketfly (2018): Más de 26 millones de direcciones comprometidas. Taringa (2017): 28 millones de direcciones comprometidas. MySpace (2008): 360 millones de direcciones comprometidas. LinkedIn (2016): 165 millones de direcciones comprometidas. Adobe (2013): Más de 150 millones …

Read more¿Alguna vez te preguntaste si tu e-mail podría estar comprometido por culpa de una violación de datos a terceros?

Todos necesitamos un administrador de contraseñas

Esta es la primera de una serie de entregas dedicada a temas de seguridad en Internet y cómo incrementar nuestro escudo protector cuando estamos en línea. No es nada nuevo que quienes trabajamos en IT, y en especial aquellos que nos enfocamos en cuestiones de ciberseguridad o seguridad informática insistamos en la necesidad de usar un administrador de contraseñas. Siempre que hablo con alguien sobre ciberseguridad y cómo proteger los sistemas de una organización (aunque aplica perfectamente a la computadora que Mabel, de 80 años, usa para hablar por Skype con sus nietos que viven en el interior), insisto en que la responsabilidad principal recae sobre el usuario. El usuario que está frente a su computadora o celular es, en una gran cantidad de casos, la primer barrera que debe atravesar un atacante para obtener acceso a los sistemas. Suplantación de identidad (phishing), ingeniería social, malware, y la lista podría seguir. Todos tienen como principal punto de interés al usuario. Pero algo que muchos pasan por alto es el tema de las contraseñas. Tenemos tan asimilado el proceso de iniciar sesión en los sitios que utilizamos a diario que nos olvidamos de la importancia de las contraseñas. La contraseña es …

Read moreTodos necesitamos un administrador de contraseñas

Prácticas abusivas de spam que terminaron en una Carta Documento

Les voy a contar una bonita historia… Resulta que allá por el mes de Diciembre de 2016 hice una compra online -bueno, como casi todos los días-, pero esta era la primera vez que compraba en ese comercio. Muchos comercios asumen que una compra online -en la que tenés que dejar tu dirección de mail para registrarte y recibir actualizaciones del estado de tus pedidos- significa que tambien aceptás recibir a partir de ese momento toda clase de publicidad por e-mail. Spam, básicamente. Resulta que este comercio empezó a mandarme correo no deseado muy esporádicamente. Realmente era tan esporádico que cuando presionaba sobre Desuscribir no recordaba haberlo hecho con anterioridad. Pero en Octubre/Noviembre del 2017 la cosa cambió. Empecé a recibir estos e-mails con publicidad todos los días. Y así como llegaban, todos-los-días hacía clic en Desuscribir. Claro que la solución es mandar los mensajes a Correo no deseado y ya. Pero para alguien que trabaja en IT y que tiene algo de experiencia en este tema del envío masivo de mails, es muy dificil conformarse con mover los mensajes a correo no deseado o crear una regla que los mueva automáticamente. Decidí contactarme con el comercio por e-mail. Después …

Read morePrácticas abusivas de spam que terminaron en una Carta Documento

¿Qué es y cómo funciona el nuevo registro DNS CAA?

En Enero de 2013, Rob Stradling propuso y formalizó la implementación de un estándar para la Autorización de Entidades de Certificación (Certification Authority Authorization, por sus siglas en inglés) mediante el RFC 6844. El propósito de los registros CAA es “designar” una o más entidades de certificación a emitir certificados SSL/TLS a un dominio o subdominio específicos. Los dueños de dominios podrán, además, declarar una dirección de correo electrónico para recibir notificaciones en caso que alguien solicite un certificado a una entidad de certificación no autorizada. De no existir un registro CAA, cualquier entidad está autorizada a emitir certificados para ese dominio o subdominio. Si bien el estándar data del año 2013, no fue hasta hace algunos meses que los proveedores de DNS y las entidades de certificación comenzaron su implementación. Algunos de ellos aun no aceptan registros del tipo CAA y otros aun no verifican la existencia del registro antes de emitir sus certificados, pero están gradualmente modificando sus infraestructuras para hacerlo. En mi caso utilizo DNS Made Easy desde hace algunos años y, además de soportar este tipo de registros, siempre he tenido estupendos resultados. En lo que respecta a la creación de registros CAA, están compuestos por tres elementos. Demos un vistazo a su topología: flag: Un entero entre 0 …

Read more¿Qué es y cómo funciona el nuevo registro DNS CAA?

Por qué es importante DMARC en una estrategia de e-mail

DMARC (o Autenticación de mensajes, informes y conformidad basada en dominios, por sus siglas en inglés), es un mecanismo de autenticación de correos electrónicos relativamente joven que permite a los remitentes garantizar a sus destinatarios que los mensajes que han recibido fueron originados por su organización. Fue establecido mediante el RFC7489 y publicado por primera vez en Marzo de 2012. Si bien DMARC depende de los mecanismos SPF y DKIM, existen grandes diferencias entre ellos. Mientras que SPF y DKIM están enfocados en lo que conocemos como “SMTP MAIL-FROM” (también llamado envelope-from o 5321.MailFrom, quien especifica la dirección para devolución de mensajes al remitente), DMARC verifica que el dominio del 5321.MailFrom y el de 5322.From (la dirección de correo que vemos en el campo “DE“) se encuentren alineados. Pongámoslo en un ejemplo: Mail-From: [email protected] De: “Frank” <[email protected]> Para: “Andrew” <[email protected]> Asunto: Vencimiento de nombre de dominio – Acción requerida Si el dominio dominiofalso.com tiene correctamente configurado su registro SPF, el servidor de correo de example.com lo tratará como un mensaje “sano” y pasará la prueba de seguridad. Dado que el cliente de correo de Andrew solo le mostrará la dirección en el campo “From“, Andrew creerá que el mensaje proviene de un origen seguro. Sin embargo, si miempresa.com tuviese configurado el registro _dmarc.miempresa.com con …

Read morePor qué es importante DMARC en una estrategia de e-mail