La autenticación multifactor (MFA) se considera una barrera sólida, pero los atacantes han encontrado una grieta: el bombardeo de solicitudes. Este método consiste en enviar decenas de notificaciones push al móvil del usuario hasta que, por frustración o error, este acepta una. Desde foro3d.com recordamos que aprobar una solicitud inesperada es abrir la puerta al atacante. La formación continua en ciberseguridad es la única defensa real contra este tipo de fatiga.
Cómo funciona el ataque por fatiga MFA 🔐
El ataque, conocido como MFA fatigue o bombing, explota la psicología humana más que la tecnología. El atacante, tras obtener credenciales de acceso, dispara solicitudes MFA repetidas desde la misma sesión. El usuario, abrumado por alertas constantes, puede aceptar una para silenciar el ruido. Sistemas como Okta o Microsoft han documentado casos donde bastaron 15 minutos de bombardeo para que un empleado cediera. La solución técnica pasa por políticas de bloqueo tras intentos fallidos y notificaciones con contexto geográfico.
El clic que te salva o te hunde 🎯
Imagina esto: llevas 20 minutos intentando entrar a tu cuenta y, de repente, aparece una ventana pidiendo confirmación. Piensas: por fin funciona. Y clicas. Enhorabuena, acabas de regalar tu acceso a un desconocido que celebra desde su sótano. El bombardeo MFA es la versión digital de ese amigo pesado que llama 50 veces hasta que le contestas. La diferencia es que aquí, si cedes, tu cuenta termina en manos de alguien que no quiere quedar para tomar café.