Durante años, los expertos en seguridad hemos repetido un mantra: “Activa la Autenticación Multifactor (MFA) para protegerte”. Sin embargo, una nueva ola de ataques utilizando la herramienta Evilginx está demostrando que las protecciones tradicionales ya no son suficientes.
Investigaciones recientes señalan un aumento masivo en el uso de esta herramienta por parte de ciberdelincuentes para atacar plataformas corporativas como Microsoft 365, Google Workspace, Okta y GitHub.
¿Qué hace diferente a este ataque?
El phishing tradicional crea una copia falsa de una web (por ejemplo, una página de Facebook mal hecha). Si eres observador, puedes notar que el diseño es raro.
Evilginx funciona diferente: utiliza una técnica llamada Adversary-in-the-Middle (AiTM) (Adversario en el Medio).
- El hacker te envía un enlace.
- Al hacer clic, el servidor del hacker actúa como un “puente” o proxy transparente.
- Tú ves la página real de Microsoft o Google, porque el servidor del hacker te la está mostrando en tiempo real.
- Tú ingresas tu contraseña y tu código MFA.
- El sitio real valida tus datos y te deja entrar.
El robo invisible
Aquí está la trampa: Como todo el tráfico pasó a través del servidor del hacker, Evilginx no solo capturó tu contraseña, sino también lo más valioso: la Cookie de Sesión.
Esta “cookie” es el ticket digital que le dice al sitio web “este usuario ya se identificó”. Una vez que el atacante tiene esta cookie, puede inyectarla en su propio navegador y acceder a su cuenta sin necesitar su contraseña ni su código MFA nunca más.
¿Por qué fallan los códigos SMS y las Apps Autenticadoras?
El problema no es que el código sea inseguro, el problema es que el usuario puede ser engañado para entregarlo. Evilginx automatiza este engaño. Cualquier método de MFA que requiera que el usuario “copie y pegue” un código o apruebe una notificación (Push) es vulnerable a este tipo de ataque de proxy.
Recomendaciones
- Llaves de Seguridad de Hardware (FIDO2): Dispositivos como YubiKey o las llaves Titan de Google.
- Claves de acceso: El nuevo estándar que usa la biometría de tu dispositivo.
¿Por qué funcionan?
Porque estos métodos utilizan criptografía para verificar el dominio web. Si la llave detecta que estás en login-microsoft-fake.comlugar de login.microsoft.com, simplemente se negará a funcionar, deteniendo el ataque de Evilginx en seco.
