Hackers respaldados por el estado ruso han desarrollado una preocupante nueva capacidad para evadir una de las protecciones de seguridad más fundamentales del correo electrónico. APT29, también conocido como Cozy Bear y vinculado al Servicio de Inteligencia Extranjera de Rusia (SVR), está eludiendo con éxito la autenticación en dos pasos (2FA) de Google en ataques dirigidos contra críticos políticos y académicos.
La sofisticada campaña comienza con correos de phishing cuidadosamente elaborados que suplantan al Departamento de Estado de EE.UU. Estos mensajes parecen legítimos para objetivos que interactúan frecuentemente con entidades gubernamentales, como expertos en política exterior y periodistas que cubren asuntos internacionales. Los correos contienen enlaces a páginas de inicio de sesión falsas que capturan tanto contraseñas como, críticamente, cookies de sesión.
Lo que hace este ataque particularmente peligroso es su capacidad para evadir las protecciones tradicionales de 2FA. En lugar de simplemente robar credenciales, los sitios maliciosos capturan los tokens de sesión activos después de que la víctima ha completado la autenticación. Esto permite a los atacantes secuestrar la sesión autenticada sin necesitar el segundo factor.
Los investigadores de seguridad señalan que esto representa una evolución significativa en las técnicas de robo de credenciales. 'El robo de cookies de sesión existe desde hace tiempo, pero combinarlo con ingeniería social tan precisa contra objetivos de alto valor muestra la continua innovación de APT29', explica un analista de inteligencia de amenazas familiarizado con la campaña.
Los objetivos parecen ser principalmente individuos críticos con las políticas del gobierno ruso, particularmente aquellos con plataformas internacionales. Las víctimas incluyen académicos en universidades occidentales que estudian asuntos de Europa del Este y periodistas que cubren actividades geopolíticas rusas.
Recomendaciones de mitigación:
- Implementar MFA resistente a phishing como llaves de seguridad FIDO2
- Monitorear actividad de inicio de sesión sospechosa, especialmente desde IPs extranjeras
- Educar a usuarios de alto riesgo sobre tácticas avanzadas de phishing
- Considerar soluciones empresariales que analicen el comportamiento de sesión
Google ha sido notificado sobre los ataques pero aún no ha comentado sobre posibles cambios en los sistemas de autenticación de Gmail. El incidente destaca cómo incluso medidas robustas de seguridad como el 2FA pueden ser eludidas por actores estatales determinados con capacidades avanzadas de ingeniería social.
Comentarios 0
Comentando como:
¡Únete a la conversación!
Sé el primero en compartir tu opinión sobre este artículo.
¡Inicia la conversación!
Sé el primero en comentar este artículo.