Cómo los atacantes eluden la MFA: Adversario en el medio, fatiga de MFA y robo de tokens

La autenticación multifactor (MFA) fue durante mucho tiempo considerada la bala de plata contra la compromisión de cuentas. Sin embargo, los atacantes han alcanzado a la tecnología: los proxies Adversary-in-the-Middle (AiTM) interceptan los tokens MFA en tiempo real, los ataques de fatiga de MFA agotan a los usuarios hasta su rendición, y el robo de tokens de sesión hace irrelevante el segundo factor. La MFA sigue siendo importante, pero ya no basta por sí sola.

En resumen

• Los proxies AiTM (Evilginx, Modlishka) interceptan los tokens MFA en tiempo real
• Fatiga de MFA: el hackeo de Uber en 2022 tuvo éxito mediante bombardeo de notificaciones push
• El robo de tokens de sesión mediante infostealers elude completamente la MFA
• FIDO2/Passkeys es el único estándar resistente al phishing

Adversario en el medio: el proxy invisible

Los ataques AiTM utilizan un proxy inverso entre el usuario y la página legítima de inicio de sesión. El usuario ve una copia perfecta, introduce sus credenciales y el código MFA, y el proxy lo reenvía todo, capturando el token de sesión resultante. El atacante obtiene así una sesión autenticada sin necesidad de poseer nunca el segundo factor.

Herramientas como Evilginx2 hacen que este tipo de ataques sean sorprendentemente sencillos. Con un dominio de phishing convincente y un proxy configurado, la MFA queda anulada. Microsoft informó en 2023 que más de 10.000 organizaciones fueron afectadas por campañas AiTM.

Fatiga de MFA: el ser humano como eslabón más débil

En el ataque a Uber en 2022, el atacante bombardeó a un empleado con notificaciones push de MFA – cientos en poco tiempo. Finalmente, la víctima pulsó «Aceptar» para detener la avalancha. Con una sola vez fue suficiente.

La fatiga de MFA funciona porque la MFA basada en notificaciones push solo pregunta al usuario: «¿Era usted?». Sin contexto. Medidas de protección: Number Matching (el usuario debe introducir un número que aparece en la página de inicio de sesión dentro de la app), limitación de intentos y alertas basadas en anomalías ante actividad MFA inusual.

Robo de tokens de sesión: eludir la MFA sin atacarla directamente

El malware infostealer (Raccoon, Redline, Vidar) roba directamente del dispositivo cookies del navegador y tokens de sesión. Con un token de sesión válido, el atacante puede tomar el control de la sesión – la MFA ya fue superada en el inicio de sesión y ya no es relevante.

El resultado: sesiones autenticadas se comercializan en mercados del darknet. Un token de sesión válido para una cuenta corporativa de M365 cuesta menos de 10 dólares. La solución: vinculación de tokens (token-binding), acceso condicional con cumplimiento del dispositivo y invalidación regular de sesiones.

La respuesta: FIDO2 y MFA resistente al phishing

La autenticación basada en FIDO2 (llaves físicas, passkeys) es por diseño inmune a los ataques AiTM: la clave privada está vinculada al dominio. Un proxy en otro dominio no puede obtener una firma válida. Tampoco es posible el bombardeo de notificaciones push – el usuario debe tocar físicamente la llave o confirmar mediante autenticación biométrica.

Google informa: desde que impuso el uso obligatorio de FIDO2 para todos sus empleados (2017), no ha habido ni un solo ataque de phishing exitoso contra cuentas de empleados. La tecnología funciona – el reto está en su adopción en entornos empresariales.

Datos clave

Campañas AiTM: Más de 10.000 organizaciones afectadas en 2023 (Microsoft)

Precio de un token de sesión: Menos de 10 USD en mercados del darknet

FIDO2 en Google: 0 ataques de phishing exitosos desde su implementación en 2017

Preguntas frecuentes

¿Debería desactivar la MFA si puede ser eludida?

De ninguna manera. La MFA sigue bloqueando más del 99 % de los ataques automatizados de robo de credenciales. Las técnicas de elusión mencionadas requieren un esfuerzo dirigido. La MFA sigue siendo obligatoria – pero debe complementarse con métodos resistentes al phishing (FIDO2).

¿Qué es el Number Matching en MFA?

En lugar de solo mostrar «Aceptar/Rechazar», la página de inicio de sesión muestra un número de dos dígitos. El usuario debe introducir ese mismo número en la app de autenticación. Esto evita la aprobación ciega en ataques de fatiga de MFA. Microsoft y Duo ofrecen Number Matching de forma nativa.

¿Protege una VPN contra ataques AiTM?

No. Los ataques AiTM apuntan a servicios en la nube (M365, Google Workspace) que se utilizan directamente a través del navegador, no mediante VPN. La protección reside en la autenticación resistente al phishing y en políticas de acceso condicional que verifican el cumplimiento del dispositivo.

Artículos relacionados

• Tendencias de ciberseguridad 2026: los 7 desarrollos que deben conocer los responsables de seguridad
• Detectar correos de phishing generados por IA: 7 señales de alerta para 2026
• Ciberseguridad 2030: cinco predicciones para la próxima década de la seguridad informática

Más del MBF Media Network

• Cloud Magazin – Cloud, SaaS e infraestructura IT
• myBusinessFuture – Digitalización, IA y negocio
• Digital Chiefs – Liderazgo pensante a nivel C-Level

Fuente de imagen: Pexels / I’m Zion

Sobre el autor: Tobias Massow

Más artículos de Tobias Massow