Fatiga de MFA (Push Bombing)
¿Qué es Fatiga de MFA (Push Bombing)?
Fatiga de MFA (Push Bombing)Ataque en el que el adversario, con la contrasena valida, inunda a la victima de notificaciones push de MFA hasta que esta aprueba una por confusion o cansancio.
La fatiga de MFA, o push bombing, explota la autenticacion multifactor basada en notificaciones push. Tras obtener una contrasena valida por phishing o credential stuffing, el atacante inicia sesion repetidamente y dispara una avalancha de aprobaciones push en el movil de la victima. Al final el usuario pulsa Aprobar para que cesen los avisos o cree que el aviso es legitimo. Casos notorios: la brecha de Uber 2022 y la intrusion a Cisco 2022, ambas asociadas a Lapsus$ y EXOTIC LILY. Mitigaciones: number matching, contexto en las notificaciones, rate limiting, bloqueo tras rechazos repetidos y migracion a FIDO2 o passkeys resistentes a phishing.
● Ejemplos
- 01
Uber 2022: un contratista externo aprobo una notificacion push tras decenas de intentos y dio acceso inicial.
- 02
Cisco 2022: los atacantes combinaron vishing y push bombing para evadir la MFA del VPN corporativo.
● Preguntas frecuentes
¿Qué es Fatiga de MFA (Push Bombing)?
Ataque en el que el adversario, con la contrasena valida, inunda a la victima de notificaciones push de MFA hasta que esta aprueba una por confusion o cansancio. Pertenece a la categoría de Identidad y acceso en ciberseguridad.
¿Qué significa Fatiga de MFA (Push Bombing)?
Ataque en el que el adversario, con la contrasena valida, inunda a la victima de notificaciones push de MFA hasta que esta aprueba una por confusion o cansancio.
¿Cómo defenderse de Fatiga de MFA (Push Bombing)?
Las defensas contra Fatiga de MFA (Push Bombing) combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.