EvilToken burla el MFA y compromete cuentas corporativas

Protección contra malware y resguardo de la información
Protección de datos y privacidad
Massiv malware de apps falsa

La herramienta EvilToken representa una nueva evolución del phishing tradicional, ya que permite a los atacantes evadir los sistemas de autenticación multifactor (MFA) y acceder a cuentas corporativas aparentemente protegidas. Este método se basa en la interceptación de los tokens de sesión generados tras el proceso de autenticación, lo que permite a los ciberdelincuentes suplantar al usuario sin necesidad de conocer sus credenciales completas.

A diferencia del phishing convencional, que solo busca capturar usuario y contraseña, EvilToken aprovecha técnicas más avanzadas para secuestrar sesiones activas, lo que incrementa significativamente la efectividad del ataque. Esto hace que incluso sistemas con doble factor de autenticación puedan ser vulnerables si el usuario interactúa con enlaces o páginas fraudulentas.

Además, este tipo de ataques evidencia que la adopción de medidas de seguridad como el MFA, aunque necesaria, no es suficiente por sí sola. Los ciberdelincuentes están desarrollando técnicas cada vez más sofisticadas para superar estos controles, lo que obliga a reforzar la seguridad con medidas adicionales y una mayor concienciación de los usuarios.

 

Riesgos asociados

  • Evasión de autenticación multifactor (MFA): permite el acceso a cuentas pese a tener medidas de seguridad adicionales.
  • Secuestro de sesiones activas: los atacantes pueden operar como usuarios legítimos sin necesidad de credenciales.
  • Acceso a cuentas corporativas: riesgo directo para sistemas empresariales y datos sensibles.
  • Ataques dirigidos más efectivos: mayor tasa de éxito frente a usuarios desprevenidos.
  • Robo de información y datos críticos: acceso a correos, documentos y sistemas internos.
  • Compromiso de la organización: posibilidad de movimientos laterales dentro de la red corporativa.

 

Medidas de protección para la ciudadanía

  • No acceder a enlaces sospechosos, incluso si parecen legítimos.
  • Verificar la URL de las páginas de autenticación antes de introducir credenciales.
  • Cerrar sesiones activas en dispositivos compartidos o desconocidos.
  • Utilizar navegadores y sistemas actualizados con protecciones activas.
  • Desconfiar de mensajes urgentes que soliciten autenticación inmediata.

 

Medidas de protección para PYMEs

  • Complementar el MFA con otras medidas de seguridad, como detección de comportamiento anómalo.
  • Implantar soluciones de protección de acceso (Zero Trust).
  • Formar a empleados en phishing avanzado y secuestro de sesiones.
  • Monitorizar sesiones activas y accesos sospechosos.
  • Aplicar políticas de expiración y control de tokens de sesión.
  • Utilizar soluciones de seguridad que detecten ataques de intermediario (MITM).

 

Fuente: www.europapress.es