Un ejemplo de cómo puede evitar la MFA una ciberestafa con Gen AI

Aunque no hay ningún método de seguridad totalmente infranqueable, los sistemas de autenticación multifactor (MFA, por sus siglas en inglés) son la primera barrera de defensa y, además, son muy efectivos.

No en vano, un informe de la Agencia de Ciberseguridad e Infraestructura de Estados Unidos. (CISA), asegura que la MFA hace que los usuarios tengan un 99% menos de probabilidades de ser hackeados.

A pesar de ello, más de la mitad de las pymes aún no han implementado la MFA, tal y como contábamos hace unos meses.

“La autenticación multifactor (MFA) es uno de los medios más efectivos para detener el phishing, hasta ahora. Sin embargo, recientemente han surgido nuevos ataques y kits de phishing como servicio (PhaaS, por sus siglas en inglés), que tienen la capacidad de eludir dicha autenticación. Estos kits van desde un simple código hasta productos altamente avanzados con capacidad para robar credenciales, tokens MFA y otra información confidencial”, explica Hervé Lambert, Global Consumer Operations Manager de Panda Security.

En cualquier caso, estos sistemas suelen desbaratar la mayoría de los ataques, como en el ejemplo que comparte la compañía de ciberseguridad, en el que la MFA hubiera podido frenar una estafa impulsada por inteligencia artificial generativa (Gen AI).

El caso citado por Panda se refiera a una empresa de tecnología que ofrece servicios en la nube para clientes empresariales, por lo que almacena datos sensibles de sus clientes, incluyendo información financiera y personal.

Dada la sensibilidad de los datos, dicha compañía dispone de varias capas de seguridad, incluyendo MFA para acceder a sus sistemas.

Así pues, uno de sus trabajadores recibió un correo electrónico sospechoso, que parecía provenir de un proveedor de servicios externo con el que la empresa trabaja regularmente.

Dicho email solicitaba al empleado que hiciera clic en un enlace y proporcionase sus credenciales de inicio de sesión para acceder a una supuesta actualización de seguridad.

Sin embargo, este trabajador, consciente de los riesgos de phishing, decidió no seguir el enlace y, en su lugar, informar a los equipos de seguridad de la empresa sobre el correo electrónico sospechoso.

Los equipos de seguridad investigaron y descubrieron que, efectivamente, el enlace en el correo electrónico era una trampa de phishing diseñada para robar credenciales de inicio de sesión.

Aunque el trabajador no mordió el anzuelo de los ciberdelincuentes, Panda remarca que la MFA hubiera ayudado a detener la tentativa de ciberataque gracias a varias cosas. En primer lugar, explica que habría detectado el intento de inicio de sesión no autorizado.

Aunque el correo electrónico de phishing quería engañar al empleado para que proporcionará sus credenciales, la capa adicional de MFA requerida para iniciar sesión ofrecía una barrera adicional.

De este modo, incluso si el empleado hubiera proporcionado sus credenciales, el atacante aún habría necesitado el segundo factor de autenticación para acceder a la cuenta.

Asimismo, habría emitido una notificación de intento de inicio de sesión sospechoso, ya que el sistema de MFA estaba configurado para notificar a los administradores de seguridad tentativas de inicio de sesión sospechosas o fallidas.

El intento de inicio de sesión desde un dispositivo no reconocido hubiera activado una alerta para los equipos de seguridad, permitiéndoles investigar y tomar medidas preventivas de inmediato.

David Ramos

Soy periodista freelance especializado en información económica, gestión empresarial y tecnología. Yo no elegí esta especialidad. Fue ella la que me escogió a mí.

Recent Posts

Los españoles confían en que la IA no los sustituya laboralmente

Además, son más lo que ven a los seres humanos más propensos que la tecnología…

19 horas ago

Málaga volverá a acoger el congreso DES del 10 al 12 de junio de 2025

La octava edición acaba de cerrar sus puertas en la capital de la Costa del…

20 horas ago

Mastercard apunta al 100% de tokenización en Europa para 2030

Desde la introducción de su servicio de tokenización en 2014, Mastercard ha innovado en pagos…

20 horas ago

Se disparan las matriculaciones en cursos de IA generativa en España

Así lo desvela un estudio de Coursera, que clasifica a nuestro país en la séptima…

20 horas ago

Nuevas soluciones de Cognizant para el sector sanitario utilizan la plataforma de IA de Google Cloud

Su propuesta aborda las operaciones de marketing, la atención al placiente, la gestión de proveedores…

21 horas ago

La inteligencia artificial inunda SAP Sapphire

SAP ha reunido a 15.000 personas en sus congresos de Orlando y Barcelona, donde ha…

22 horas ago