El peligroso método que delincuentes utilizan para tomar el control de sus cuentas bancarias con solo hacer clic en un mensaje

En el mundo tecnológico abundan términos que muy pocas personas realmente conocen. Sin embargo, son de gran importancia, ya que permiten entender mejor cómo operan los ciberdelincuentes hoy en día y qué medidas tomar para evitar convertirse en una víctima. Uno de esos términos es el “bombardeo rápido de MFA”, una técnica que los expertos describen como un ataque diseñado para evadir la seguridad de la autenticación multifactor en los dispositivos.

Para que sea efectivo, los atacantes inundan a los usuarios con solicitudes MFA (autenticación multifactor) con el objetivo de que, por cansancio o confusión, acaben aceptando alguna de ellas y permitan el acceso al sistema. En definitiva, esta amenaza cibernética está en crecimiento y requiere que se tomen medidas para frenar su propagación.

“Con la adopción más amplia de la autenticación de múltiples factores para robustecer la seguridad de las cuentas, los actores de amenazas han desarrollado técnicas para atacar sistemáticamente a los usuarios con solicitudes de autenticación en un intento de obtener acceso. A través de repetidas solicitudes de inicio de sesión, los piratas informáticos intentan confundir o frustrar a los usuarios para que ingresen sus credenciales o aprueben una solicitud en un sitio o aplicación maliciosa”, explica la web Sílverfort.

Por eso es fundamental que las personas sean muy cuidadosas con sus contraseñas: sin darse cuenta pueden estar siendo manipuladas. Existen varias formas de MFA. Una de las más conocidas es el mensaje de texto con un código de un solo uso (OTP) que el usuario debe introducir para verificar su identidad.

Otros métodos son las aplicaciones de autenticación (por ejemplo Google Authenticator), las claves de seguridad físicas y la biometría (huella dactilar, reconocimiento facial o de voz). No obstante, ninguno de estos métodos está completamente exento de intentos de falsificación o abuso.

El llamado “bombardeo” ocurre cuando el ciberdelincuente ya dispone del nombre de usuario y la contraseña de la víctima y utiliza automatización para lanzar múltiples intentos de inicio de sesión contra su cuenta. Cada intento genera una notificación MFA —en cualquiera de las formas citadas— y esa repetición es la que pone en riesgo al usuario.

Esta técnica se aprovecha de la psicología humana: el atacante busca agobiar al usuario hasta llevarlo a actuar por impulso, sin reflexionar. “El atacante continúa generando intentos de inicio de sesión a un ritmo rápido hasta que el usuario acepta un mensaje de MFA, ya sea de forma intencionada o accidental.

Aceptar un mensaje le da al criminal el código de autenticación que necesita para acceder a la cuenta del usuario. En este punto, el delincuente ha eludido la MFA y ha obtenido acceso completo”, explica la fuente mencionada.