Volver al Hub

Elusión en Tiempo Real del MFA: Cómo los Kits de Phishing Usan Llamadas Telefónicas

Imagen generada por IA para: Elusión en Tiempo Real del MFA: Cómo los Kits de Phishing Usan Llamadas Telefónicas

El panorama de la ciberseguridad está siendo testigo de una peligrosa evolución en el robo de credenciales. Una nueva generación de kits de phishing está automatizando un ataque altamente efectivo y en tiempo real que se dirige directamente a uno de los barreras de seguridad más comunes: la Autenticación Multifactor (MFA). Este método representa un cambio de paradigma, pasando del robo de datos asíncrono a una estafa síncrona e interactiva que explota la psicología humana y la confianza inherente en la comunicación por voz.

Anatomía de un Robo en Tiempo Real

La cadena de ataque es alarmantemente eficiente y se desarrolla en apenas unos minutos. Comienza como una campaña de phishing estándar: una víctima recibe un correo electrónico, SMS o mensaje convincente que le insta a iniciar sesión en un servicio (por ejemplo, Microsoft 365, un banco o una VPN corporativa). El enlace conduce a una réplica perfecta de la página de inicio de sesión legítima, alojada por el kit de phishing del atacante.

Cuando la víctima introduce su nombre de usuario y contraseña, el kit de phishing no se limita a registrar los datos. Desencadena una secuencia automatizada en tiempo real. Las credenciales robadas se introducen instantáneamente en el portal de inicio de sesión real del servicio mediante un script automatizado. En el preciso momento en que el servicio legítimo envía una notificación push de MFA o un código SMS al dispositivo registrado de la víctima, el atacante inicia una llamada telefónica al número de la víctima—a menudo obtenido de la misma página de phishing o de filtraciones de datos previas.

La persona que llama, frecuentemente usando un número suplantado que parece legítimo, se hace pasar por un miembro del equipo de TI o seguridad de la empresa. Utiliza una narrativa preparada: "Le habla Seguridad de [Empresa]. Hemos detectado un intento de inicio de sesión fraudulento en su cuenta. Para bloquearlo, necesitamos que verifique su identidad. ¿Puede leernos el código de verificación que acaba de recibir?" Bajo presión y creyendo que están ayudando a la seguridad, la víctima lee el código en voz alta. El atacante, que está esperando en la solicitud de inicio de sesión legítima, introduce inmediatamente el código, completando el desafío MFA y obteniendo acceso completo y autenticado a la cuenta.

Bases Técnicas y Sofisticación de los Kits de Phishing

Esta no es una operación manual. Los kits de phishing que permiten estos ataques se venden en foros de la dark web y están diseñados para facilitar su uso, a menudo con interfaces gráficas. Integran varios componentes clave:

  1. Páginas de Captura de Credenciales: Clones de alta fidelidad de los portales de inicio de sesión objetivo.
  2. Sistemas de Retransmisión de Credenciales: Scripts automatizados que toman las credenciales robadas e intentan iniciar sesión en el servicio real en tiempo real.
  3. Integración Telefónica: APIs o servicios que permiten al kit realizar llamadas VoIP automáticamente a las víctimas en el momento en que se envían las credenciales, a menudo con suplantación de identidad de llamada.
  4. Panel de Control del Atacante: Un panel donde el atacante ve en tiempo real las credenciales enviadas, el estado de los intentos de inicio de sesión, e incluso puede escuchar o interactuar con la llamada en vivo.

Esta automatización permite que un solo atacante gestione múltiples ataques concurrentes, escalando significativamente la amenaza.

El Impacto Crítico en la Postura de Seguridad

El éxito de este método expone una debilidad fundamental en ciertas implementaciones de MFA. Si bien el MFA sigue siendo esencial, los métodos que dependen de un segundo canal que puede ser objeto de ingeniería social—SMS (SMiShing), llamadas de voz, o incluso notificaciones push que pueden ser aprobadas bajo coacción—son ahora vulnerables a esta interceptación orquestada. El ataque convierte efectivamente a la víctima en un cómplice involuntario, cerrando la brecha de seguridad que el atacante no puede cruzar técnicamente.

Para las empresas, las implicaciones son graves. Las cuentas corporativas comprometidas pueden conducir a Compromiso de Correo Electrónico Empresarial (BEC), filtración de datos, movimiento lateral dentro de las redes y despliegue de ransomware. La sensación de urgencia y autoridad transmitida en una llamada telefónica en vivo es mucho más persuasiva que un correo electrónico sospechoso, lo que hace que la formación tradicional en concienciación de seguridad sea menos efectiva contra esta ingeniería social matizada.

Estrategias de Mitigación y Defensa

Para contrarrestar esta amenaza avanzada, se requiere una estrategia de defensa en capas:

  • Promover MFA Resistente al Phishing: Las organizaciones deben acelerar la adopción de claves de seguridad FIDO2/WebAuthn o autenticación basada en certificados. Estos métodos utilizan pruebas criptográficas que no se pueden suplantar o retransmitir en una estafa en tiempo real.
  • Implementar Coincidencia de Números para MFA por Push: Para servicios como Microsoft Authenticator, exija la coincidencia de números. Esto requiere que el usuario introduzca en su aplicación un número que se muestra en la pantalla de inicio de sesión, impidiendo que un atacante obtenga acceso con una simple aprobación de notificación push.
  • Mejorar la Formación en Seguridad: Capacitar a los empleados sobre esta táctica específica. Enfatizar que los equipos legítimos de TI o seguridad nunca pedirán un código MFA o una contraseña por teléfono. Establecer protocolos claros y verificados para reportar dichas llamadas.
  • Desplegar Seguridad Avanzada de Correo Electrónico: Fortalecer las defensas con DMARC, DKIM y SPF para reducir el volumen de correos de phishing que llegan a las bandejas de entrada. Como se referencia en discusiones sobre soluciones empresariales de DMARC, la autenticación adecuada del correo electrónico es una primera capa crítica para evitar el señuelo inicial.
  • Monitorizar Inicios de Sesión Anómalos: Los equipos de seguridad deben monitorizar los intentos de inicio de sesión que se originen en ubicaciones o infraestructuras no familiares (como proveedores de alojamiento comunes para kits de phishing) seguidos inmediatamente por una autenticación exitosa desde una ubicación diferente y esperada—una señal potencial de retransmisión de credenciales.

Conclusión

La aparición de kits de phishing que eluden el MFA en tiempo real mediante llamadas telefónicas marca una escalada significativa en el panorama de amenazas cibernéticas. Difumina las líneas entre la explotación técnica y la manipulación psicológica, creando un arma potente para el robo de credenciales. Si bien el MFA no ha muerto, sus formas más débiles están bajo asalto directo. La respuesta de la comunidad de seguridad debe ser promover y desplegar una autenticación verdaderamente resistente al phishing, al tiempo que se adapta continuamente la educación del usuario para abordar estos ataques cada vez más sofisticados y centrados en el factor humano. La carrera entre la defensa y la ofensiva ha entrado en una nueva fase, más interactiva.

Fuentes originales

NewsSearcher

Este artículo fue generado por nuestro sistema NewsSearcher de IA, que analiza y sintetiza información de múltiples fuentes confiables.

Betrüger hatte es noch nie so leicht: Neue Phishing-Methode hebelt Verifizierung einfach aus

CHIP Online Deutschland
Ver fuente

Best Enterprise DMARC Solutions in 2026 (Compared)

TechBullion
Ver fuente

⚠️ Fuentes utilizadas como referencia. CSRaid no se responsabiliza por el contenido de sitios externos.

Por Alvaro Salinas Cybersecurity Engineer
Identidad y Acceso
Este artículo fue redactado con asistencia de IA y supervisado por nuestro equipo editorial.

Comentarios 0

¡Únete a la conversación!

Sé el primero en compartir tu opinión sobre este artículo.