PoisonSeed engaña a los usuarios para que evadan las claves FIDO con códigos QR

Los investigadores de seguridad de Expel han detallado una nueva técnica de phishing que evade la protección que ofrecen las llaves de seguridad físicas FIDO (Fast Identity Online). Aunque las llaves permanecen intactas, los atacantes han descubierto cómo engañar a los usuarios para que concedan acceso mediante el uso indebido de una función legítima de inicio de sesión multidispositivo.

Los atacantes no necesitaron descifrar la clave de seguridad de FIDO . En su lugar, recurrieron a la ingeniería social para sortearla. Aprovecharon la función de inicio de sesión multidispositivo, diseñada para facilitar la navegación de FIDO, y la usaron contra la víctima.

Página de códigos QR y phishing

El proceso comienza cuando el usuario visita una página de inicio de sesión falsa e introduce sus credenciales. El atacante usa esos datos para iniciar sesión en el sitio web, que muestra un código QR . El usuario ve el código y lo escanea con su aplicación de autenticación multifactor (MFA), sin darse cuenta de que acaba de aprobar el inicio de sesión del atacante.

La campaña se detectó durante un ataque de phishing contra un cliente de Expel. Las víctimas fueron atraídas a una página de inicio de sesión falsa de Okta que imitaba el portal legítimo de la empresa. Una vez que los usuarios ingresaban sus credenciales, el sitio de phishing los redirigía al sistema de inicio de sesión real y solicitaba un inicio de sesión multidispositivo.

Ese sistema mostraba entonces un código QR, que el sitio de phishing capturaba y mostraba al usuario. Al escanearlo con su aplicación móvil de autenticación multifactor (MFA), el usuario, sin saberlo, aprobaba la sesión del atacante.

Este enfoque evita la interacción física con la clave FIDO, que normalmente se requeriría para iniciar sesión. También demuestra cómo los atacantes siguen encontrando nuevas formas de eludir incluso los sistemas de autenticación más seguros, no pirateando la tecnología en sí, sino aprovechándose de quienes la usan.

Según el informe de Expel compartido con Hackread.com, la compañía sospecha que el grupo responsable del ataque es PoisonSeed, un conocido actor de amenazas vinculado a campañas de phishing y robo de criptomonedas. Si bien el objetivo en este caso probablemente era el acceso a cuentas, la misma técnica podría aplicarse a otros tipos de phishing o robo de datos.

Expel también mencionó un segundo incidente en el que los atacantes usaron phishing para restablecer la contraseña de un usuario y luego registraron su propia clave FIDO en la cuenta. A diferencia del método del código QR, este no se basó en engañar al usuario después de la vulneración inicial. Fue una toma de control directa.

¿Qué se puede hacer entonces? Expel recomienda revisar detenidamente los registros de autenticación para detectar actividad inusual, como inicios de sesión desde ubicaciones inesperadas o el registro rápido de múltiples claves FIDO. Limitar los permisos de inicio de sesión geográficos y exigir la proximidad de Bluetooth para la autenticación entre dispositivos también son medidas eficaces para reducir el riesgo.

J. Stephen Kowski , director de tecnología de campo de SlashNext, intervino señalando que esto no es un fallo del sistema, sino un uso indebido deliberado de una función. «La técnica es ingeniosa porque aprovecha la función legítima de inicio de sesión multidispositivo que facilita el uso de las claves FIDO», afirmó, y añadió que los atacantes ahora están eludiendo la autenticación robusta en lugar de intentar vulnerarla.