El grupo de hackers patrocinado por el estado ruso APT29 (conocido como Cozy Bear) ha desarrollado una nueva técnica preocupante: evadir la autenticación de dos factores (2FA) en cuentas de Gmail mediante métodos puros de ingeniería social, eliminando la necesidad de usar malware en operaciones de robo de credenciales.
Según investigadores de ciberseguridad que monitorean sus actividades, APT29 ha estado atacando específicamente a críticos internacionales de las políticas rusas y académicos que estudian temas de Europa del Este. Los ataques siguen un proceso meticuloso que representa una evolución significativa en las técnicas de robo de credenciales.
La metodología comienza con una fase prolongada de reconocimiento para identificar objetivos de alto valor. Los operadores inician luego comunicaciones que parecen profesionales legítimas, haciéndose pasar frecuentemente por periodistas, colegas investigadores u organizadores de conferencias. Estas interacciones buscan construir confianza durante semanas o meses usando tácticas personalizadas de ingeniería social.
Una vez establecida la relación, los atacantes guían a las víctimas para obtener contraseñas específicas de aplicaciones (ASP) - una función de Google que permite a aplicaciones heredadas acceder a cuentas Gmail sin solicitar 2FA. Al convencer a los objetivos de generar o revelar estas ASP, los atacantes obtienen acceso persistente que evade todas las protecciones de autenticación doble.
Esta técnica es particularmente preocupante porque:
- No deja huellas de malware para los sistemas de detección
- Explota funciones legítimas en lugar de vulnerabilidades
- El acceso persiste incluso después de cambiar la contraseña principal
- Evita métodos fuertes de 2FA como llaves de seguridad
Los equipos de seguridad deben considerar que este vector ataca específicamente:
- Cuentas de Google Workspace con 2FA habilitado
- Usuarios que han generado contraseñas para aplicaciones
- Organizaciones sin supervisión del uso de ASPs
Las medidas de mitigación incluyen:
- Desactivar las contraseñas para aplicaciones donde sea posible
- Implementar límites de duración de sesiones
- Monitorear patrones inusuales en el uso de ASPs
- Capacitación específica sobre esta amenaza
La aparición de esta técnica demuestra cómo los actores de amenazas avanzadas están adaptando sus métodos para evadir controles de seguridad modernos. A medida que más organizaciones adoptan la autenticación de dos factores, los atacantes encuentran formas creativas de sortear estas protecciones mediante manipulación humana en lugar de exploits técnicos.
Comentarios 0
Comentando como:
¡Únete a la conversación!
Sé el primero en compartir tu opinión sobre este artículo.
¡Inicia la conversación!
Sé el primero en comentar este artículo.