Red Hot Cyber

La ciberseguridad se comparte. Reconozca el riesgo, combátalo, comparta sus experiencias y anime a otros a hacerlo mejor que usted.
Buscar

PoisonSeed: Cómo los ataques de phishing eluden FIDO con WebAuthn

Redazione RHC : 5 agosto 2025 07:43

Los autores de la campaña de phishing PoisonSeedhan encontrado una forma de eludir FIDO (en este caso, FIDO2 con WebAuthn) mediante el mecanismo de autenticación multidispositivo implementado en WebAuthn. Los atacantes convencen a las víctimas para que aprueben las solicitudes de inicio de sesión desde portales corporativos falsos. Tenga en cuenta que la campaña PoisonSeed se basa en el phishing, cuyo objetivo final es el fraude financiero. En el pasado, los atacantes han pirateado cuentas corporativas con fines de marketing por correo electrónico y han enviado a los usuarios correos electrónicos con frases predefinidas para monederos de criptomonedas.

En los nuevos ataques identificados por los expertos de Expel, los atacantes no explotan una vulnerabilidad en los mecanismos FIDO, sino que abusan de una función legítima de autenticación entre dispositivos. Esta función, WebAuthn, permite a un usuario autenticarse en un dispositivo mediante una clave de seguridad o una aplicación de autenticación en otro. En lugar de conectar físicamente la clave (por ejemplo, mediante USB), la solicitud de autenticación se transmite por Bluetooth o un código QR.

Los nuevos ataques PoisonSeed comienzan redirigiendo a la víctima a un sitio de phishing que imita un portal de inicio de sesión corporativo de Okta o Microsoft 365. Una vez que la víctima introduce sus credenciales, la infraestructura de phishing las utiliza en tiempo real para acceder al portal real. Normalmente, la víctima confirma el acceso con su clave FIDO. Sin embargo, en este esquema, el servidor de phishing inicia el inicio de sesión a través del mecanismo de inicio de sesión de otro dispositivo. Como resultado, el portal real genera un código QR que se transmite a la página de phishing y se muestra a la víctima.

Cuando un usuario escanea este código QR con su teléfono inteligente o una aplicación de autenticación, básicamente aprueba el inicio de sesión del atacante. Esto le permite evadir la seguridad de FIDO al cambiar a la autenticación de dispositivo a dispositivo, que no requiere una conexión de clave física y puede aprobarse de forma remota.

Los investigadores enfatizan que el ataque no explota ninguna vulnerabilidad de FIDO. En cambio, los atacantes explotan una función estándar que les permite reducir el nivel de protección. Para protegerse contra estos ataques, los expertos recomiendan:

  • Limita las áreas geográficas desde las que se permite el acceso e implementa un proceso de registro para los empleados que viajan por negocios.
  • Comprueba periódicamente si hay nuevos registros de claves FIDO provenientes de ubicaciones geográficas inusuales o de fabricantes poco conocidos.
  • Si es posible, solicita a los empleados que usen Bluetooth para la autenticación entre dispositivos, lo que reduce el riesgo de ataques remotos.

También en su informe, los analistas de Expel describen otro incidente en el que el atacante registró su clave FIDO tras comprometer la cuenta de la víctima (presumiblemente mediante phishing). En este caso, ni siquiera fue necesario falsificar un código QR ni interactuar con la víctima: el atacante completó todo el proceso de inicio de sesión.

Este caso demuestra que incluso los métodos de autenticación resistentes al phishing pueden eludirse si se convence al usuario de que complete el proceso de inicio de sesión sin interactuar físicamente con la clave.

Redazione
Red Hot Cyber's editorial team consists of a collection of individuals and anonymous sources who actively collaborate by providing advance information and news on cyber security and IT in general.

Lista degli articoli

Artículos destacados

¡Llega la Novia Robot! La nueva frontera de la tecnología china.
Di Redazione RHC - 15/08/2025

Mientras que el auge de los robots en China, el mayor mercado y productor mundial de robots, atrae la atención de la industria global de las tecnologías de la información (TI), la apari...

¡Agosto a lo grande! 36 RCE para el martes de parches de Microsoft en agosto.
Di Redazione RHC - 13/08/2025

Martes de parches de agosto: Microsoft publica actualizaciones de seguridad que corrigen 107 vulnerabilidades en los productos de su ecosistema. La actualización incluye correcciones para 90 vuln...

Vulnerabilidad crítica de RCE en Microsoft Teams: se necesita una actualización urgente
Di Redazione RHC - 13/08/2025

Como parte de las actualizaciones de seguridad del martes de parches de agosto de 2025, se ha corregido una vulnerabilidad crítica de ejecución remota de código (RCE) en el software de ...

29.000 servidores Exchange en riesgo. El exploit para CVE-2025-53786 está en explotación.
Di Redazione RHC - 13/08/2025

29 000 servidores Exchange son vulnerables a la vulnerabilidad CVE-2025-53786, que permite a los atacantes acceder a entornos de nube de Microsoft, lo que podría comprometer por completo el ...

James Cameron: La IA puede causar devastación como Skynet y Terminator
Di Redazione RHC - 10/08/2025

«El sistema de defensa militar Skynet entrará en funcionamiento el 4 de agosto de 1997. Comenzará a autoeducarse, aprendiendo a un ritmo exponencial, y adquirirá consciencia de s&#...