La seguridad en entornos digitales continúa enfrentando desafíos, incluso en estándares diseñados para mitigar el phishing. Recientemente, investigadores de ciberseguridad han revelado un sofisticado ataque que compromete la protección de FIDO keys mediante el uso engañoso de portales de inicio de sesión falsos. Este ataque, atribuido al grupo PoisonSeed, utiliza flujos de autenticación cruzada para persuadir a los usuarios a autorizar accesos fraudulentos.
Las FIDO keys son autenticadores de hardware o software que emplean criptografía de clave pública para vincular inicios de sesión con dominios específicos. A pesar de estar diseñadas para resistir el phishing, el flujo de inicio de sesión cruzado puede ser manipulado si no se implementan verificaciones de proximidad, como Bluetooth o validación local del dispositivo. En tales escenarios, un atacante puede aprovechar la función híbrida para presentar un código QR a través de un portal clonado, que el usuario escanea inconscientemente con su aplicación de autenticación legítima.
Este método fue observado por Expel, que detalló cómo el uso de FIDO keys pueden ser vulnerables durante operaciones: tras enviar correos de phishing, los actores inducen al usuario a iniciar sesión en una página que simula el portal Okta de la empresa. Luego, el sitio falso captura el código QR generado por el portal auténtico y lo muestra a la víctima. Una vez escaneado, el atacante obtiene acceso no autorizado.
Riesgos y recomendaciones
La amenaza es especialmente peligrosa porque no explota fallos en el protocolo, sino que abusa de características válidas de las FIDO keys. En algunos casos, incluso se detectó que el atacante registró su propia clave FIDO tras el acceso inicial, reforzando el control sobre la cuenta comprometida.
Para mitigar estos riesgos, se recomienda:
- Forzar autenticación en el mismo dispositivo que contiene la clave.
- Implementar verificaciones de proximidad.
- Monitorizar inicios de sesión mediante QR y nuevos registros de claves FIDO.
- Utilizar métodos resistentes al phishing en procesos de recuperación.
En conclusión, este caso evidencia cómo las FIDO keys, aunque robustas, pueden ser vulnerables si se aplican sin controles adicionales. La autenticación debe ir más allá de lo técnico, incorporando prácticas conscientes que fortalezcan la integridad del acceso.
Te puede interesar:
Habilidades laborales: ¿cuáles son las 5 cualidades que valoran las empresas al contratar talentos?
Fuente:
https://thehackernews.com/
