Los especialistas de Expel han identificado una sofisticada evolución en la campaña de phishing PoisonSeed, donde los atacantes han desarrollado un método innovador para circumvenir la autenticación FIDO2 con WebAuthn sin explotar vulnerabilidades técnicas. Esta nueva táctica convierte una característica de seguridad diseñada para proteger a los usuarios en un vector de ataque altamente efectivo.
Explotación de Características Legítimas en Lugar de Vulnerabilidades
A diferencia de los ataques tradicionales que buscan explotar fallas de seguridad, los operadores de PoisonSeed no atacan defectos en el protocolo FIDO. En su lugar, utilizan de manera maliciosa la funcionalidad nativa de autenticación inter-dispositivos de WebAuthn, una característica diseñada para mejorar la experiencia del usuario.
La autenticación inter-dispositivos permite a los usuarios autenticarse en un dispositivo utilizando una clave de seguridad o aplicación autenticadora ubicada en otro dispositivo. Este proceso se realiza mediante conexiones Bluetooth o códigos QR, eliminando la necesidad de conectar físicamente la clave de seguridad al dispositivo objetivo.
Anatomía del Ataque: Proceso Paso a Paso
El ataque comienza con un escenario de phishing clásico: la víctima es redirigida a un sitio web fraudulento que imita portales corporativos legítimos como Okta o Microsoft 365. Una vez que el usuario introduce sus credenciales, los atacantes utilizan esta información en tiempo real para intentar acceder al portal auténtico.
El momento crítico ocurre cuando el sistema legítimo solicita verificación mediante clave FIDO. El servidor de phishing inicia una solicitud de inicio de sesión desde otro dispositivo, provocando que el portal auténtico genere un código QR para la autenticación inter-dispositivos.
Este código QR es capturado y mostrado en la página fraudulenta a la víctima desprevenida. Cuando el usuario escanea el código con su smartphone o aplicación autenticadora, inadvertidamente autoriza el acceso iniciado por los ciberdelincuentes, completando así el bypass de la protección FIDO mediante un downgrade de seguridad.
Vectores Alternativos y Persistencia del Ataque
Los investigadores han documentado un método alternativo donde los atacantes registran su propia clave FIDO después del compromiso inicial de la cuenta. Esta variante elimina la necesidad de generar códigos QR falsos o interacciones adicionales con el usuario, otorgando a los atacantes control completo sobre el proceso de autenticación.
Históricamente, la campaña PoisonSeed se ha especializado en fraudes financieros, incluyendo el compromiso de cuentas de correo corporativas para distribuir frases semilla de billeteras criptográficas preparadas entre víctimas potenciales.
Estrategias de Mitigación y Mejores Prácticas
Para reducir los riesgos asociados con estos ataques, los profesionales de ciberseguridad recomiendan verificar cuidadosamente las URLs antes de introducir credenciales, especialmente en portales corporativos. Es fundamental confirmar solicitudes de autenticación únicamente cuando el usuario haya iniciado personalmente el proceso de acceso.
Las organizaciones deben considerar implementar políticas de seguridad que restrinjan el uso de autenticación inter-dispositivos en sistemas críticos. La capacitación regular del personal en principios de ciberhigiene y técnicas actuales de ingeniería social permanece como un componente esencial de la defensa corporativa.
La evolución de las tácticas de ciberdelincuentes demuestra la necesidad de adaptación continua en las estrategias defensivas. Incluso las tecnologías de autenticación más avanzadas requieren un enfoque consciente por parte de los usuarios para garantizar su seguridad digital. La comprensión de estos mecanismos de ataque permite a organizaciones y usuarios individuales desarrollar defensas más efectivas contra las amenazas cibernéticas contemporáneas más sofisticadas.
