Fatiga de MFA (Push Bombing)
¿Qué es Fatiga de MFA (Push Bombing)?
Fatiga de MFA (Push Bombing)Ataque en el que el adversario, con la contrasena valida, inunda a la victima de notificaciones push de MFA hasta que esta aprueba una por confusion o cansancio.
La fatiga de MFA, o push bombing, explota la autenticacion multifactor basada en notificaciones push. Tras obtener una contrasena valida por phishing o credential stuffing, el atacante inicia sesion repetidamente y dispara una avalancha de aprobaciones push en el movil de la victima. Al final el usuario pulsa Aprobar para que cesen los avisos o cree que el aviso es legitimo. Casos notorios: la brecha de Uber 2022 y la intrusion a Cisco 2022, ambas asociadas a Lapsus$ y EXOTIC LILY. Mitigaciones: number matching, contexto en las notificaciones, rate limiting, bloqueo tras rechazos repetidos y migracion a FIDO2 o passkeys resistentes a phishing.
● Ejemplos
- 01
Uber 2022: un contratista externo aprobo una notificacion push tras decenas de intentos y dio acceso inicial.
- 02
Cisco 2022: los atacantes combinaron vishing y push bombing para evadir la MFA del VPN corporativo.
● Preguntas frecuentes
¿Qué es Fatiga de MFA (Push Bombing)?
Ataque en el que el adversario, con la contrasena valida, inunda a la victima de notificaciones push de MFA hasta que esta aprueba una por confusion o cansancio. Pertenece a la categoría de Identidad y acceso en ciberseguridad.
¿Qué significa Fatiga de MFA (Push Bombing)?
Ataque en el que el adversario, con la contrasena valida, inunda a la victima de notificaciones push de MFA hasta que esta aprueba una por confusion o cansancio.
¿Cómo funciona Fatiga de MFA (Push Bombing)?
La fatiga de MFA, o push bombing, explota la autenticacion multifactor basada en notificaciones push. Tras obtener una contrasena valida por phishing o credential stuffing, el atacante inicia sesion repetidamente y dispara una avalancha de aprobaciones push en el movil de la victima. Al final el usuario pulsa Aprobar para que cesen los avisos o cree que el aviso es legitimo. Casos notorios: la brecha de Uber 2022 y la intrusion a Cisco 2022, ambas asociadas a Lapsus$ y EXOTIC LILY. Mitigaciones: number matching, contexto en las notificaciones, rate limiting, bloqueo tras rechazos repetidos y migracion a FIDO2 o passkeys resistentes a phishing.
¿Cómo defenderse de Fatiga de MFA (Push Bombing)?
Las defensas contra Fatiga de MFA (Push Bombing) combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
● Términos relacionados
- identity-access№ 708
Autenticación multifactor (MFA)
Método de autenticación que requiere dos o más factores independientes —normalmente de categorías distintas— antes de conceder acceso.
- identity-access№ 883
Autenticación push
Método de MFA en el que el proveedor de identidad envía una solicitud de inicio de sesión a una app móvil de confianza, que el usuario aprueba o rechaza con un toque.
- identity-access№ 414
FIDO2
Estándar abierto de autenticación de la FIDO Alliance que combina WebAuthn (API del navegador) y CTAP (protocolo del autenticador) para un inicio de sesión sin contraseña y resistente al phishing.
- identity-access№ 793
Passkey
Credencial FIDO2/WebAuthn resistente al phishing: un par de claves asimétricas ligado al dispositivo o sincronizable que sustituye la contraseña por un desafío-respuesta criptográfico.
- attacks№ 1065
Ingeniería social
Manipulación psicológica de personas para que realicen acciones o revelen información confidencial que beneficia al atacante.
- attacks№ 232
Relleno de credenciales
Ataque automatizado que reutiliza grandes listas de usuario/contraseña filtradas en un servicio contra otros, explotando la reutilización de contraseñas para tomar cuentas.