Redazione RHC : 5 agosto 2025 07:43
Los autores de la campaña de phishing PoisonSeedhan encontrado una forma de eludir FIDO (en este caso, FIDO2 con WebAuthn) mediante el mecanismo de autenticación multidispositivo implementado en WebAuthn. Los atacantes convencen a las víctimas para que aprueben las solicitudes de inicio de sesión desde portales corporativos falsos. Tenga en cuenta que la campaña PoisonSeed se basa en el phishing, cuyo objetivo final es el fraude financiero. En el pasado, los atacantes han pirateado cuentas corporativas con fines de marketing por correo electrónico y han enviado a los usuarios correos electrónicos con frases predefinidas para monederos de criptomonedas.
En los nuevos ataques identificados por los expertos de Expel, los atacantes no explotan una vulnerabilidad en los mecanismos FIDO, sino que abusan de una función legítima de autenticación entre dispositivos. Esta función, WebAuthn, permite a un usuario autenticarse en un dispositivo mediante una clave de seguridad o una aplicación de autenticación en otro. En lugar de conectar físicamente la clave (por ejemplo, mediante USB), la solicitud de autenticación se transmite por Bluetooth o un código QR.
Los nuevos ataques PoisonSeed comienzan redirigiendo a la víctima a un sitio de phishing que imita un portal de inicio de sesión corporativo de Okta o Microsoft 365. Una vez que la víctima introduce sus credenciales, la infraestructura de phishing las utiliza en tiempo real para acceder al portal real. Normalmente, la víctima confirma el acceso con su clave FIDO. Sin embargo, en este esquema, el servidor de phishing inicia el inicio de sesión a través del mecanismo de inicio de sesión de otro dispositivo. Como resultado, el portal real genera un código QR que se transmite a la página de phishing y se muestra a la víctima.
Cuando un usuario escanea este código QR con su teléfono inteligente o una aplicación de autenticación, básicamente aprueba el inicio de sesión del atacante. Esto le permite evadir la seguridad de FIDO al cambiar a la autenticación de dispositivo a dispositivo, que no requiere una conexión de clave física y puede aprobarse de forma remota.
Los investigadores enfatizan que el ataque no explota ninguna vulnerabilidad de FIDO. En cambio, los atacantes explotan una función estándar que les permite reducir el nivel de protección. Para protegerse contra estos ataques, los expertos recomiendan:
También en su informe, los analistas de Expel describen otro incidente en el que el atacante registró su clave FIDO tras comprometer la cuenta de la víctima (presumiblemente mediante phishing). En este caso, ni siquiera fue necesario falsificar un código QR ni interactuar con la víctima: el atacante completó todo el proceso de inicio de sesión.
Este caso demuestra que incluso los métodos de autenticación resistentes al phishing pueden eludirse si se convence al usuario de que complete el proceso de inicio de sesión sin interactuar físicamente con la clave.
Mientras que el auge de los robots en China, el mayor mercado y productor mundial de robots, atrae la atención de la industria global de las tecnologías de la información (TI), la apari...
Martes de parches de agosto: Microsoft publica actualizaciones de seguridad que corrigen 107 vulnerabilidades en los productos de su ecosistema. La actualización incluye correcciones para 90 vuln...
Como parte de las actualizaciones de seguridad del martes de parches de agosto de 2025, se ha corregido una vulnerabilidad crítica de ejecución remota de código (RCE) en el software de ...
29 000 servidores Exchange son vulnerables a la vulnerabilidad CVE-2025-53786, que permite a los atacantes acceder a entornos de nube de Microsoft, lo que podría comprometer por completo el ...
«El sistema de defensa militar Skynet entrará en funcionamiento el 4 de agosto de 1997. Comenzará a autoeducarse, aprendiendo a un ritmo exponencial, y adquirirá consciencia de s&#...