Un millón de intentos en 3 minutos: el nuevo fallo MFA de Microsoft sorprende por su sencillez

Microsoft solucionó una vulnerabilidad en su sistema de autenticación de dos factores que permitía a los atacantes eludir las medidas de seguridad y acceder a las cuentas de las víctimas sin su conocimiento. El problema, denominado AuthQuake, fue identificado por los especialistas de la empresa Oasis Security y resuelto en octubre de 2024.

Según informaron los investigadores, eludir el sistema tomaba alrededor de una hora, no requería acciones por parte del usuario y no generaba notificaciones en el sistema. La vulnerabilidad estaba relacionada con la falta de limitación en el número de intentos para ingresar el código de un solo uso y con una ventana de tiempo ampliada para su validación.

Microsoft utiliza códigos de seis dígitos generados por un autenticador que son válidos durante 30 segundos. Sin embargo, debido a características de sincronización del tiempo, el código permanecía activo hasta tres minutos, lo que ofrecía a los atacantes la oportunidad de realizar numerosos intentos de adivinación.

El mecanismo principal del ataque consistía en probar todas las combinaciones posibles del código (hasta un millón de variantes) en un corto período de tiempo. Al mismo tiempo, la víctima no recibía notificaciones de los intentos fallidos de inicio de sesión.

Microsoft implementó restricciones más estrictas en el número de intentos para evitar ataques similares. Ahora, después de varios intentos fallidos, la activación del bloqueo puede durar hasta medio día. Los especialistas de Oasis destacan que, además de las limitaciones, las notificaciones sobre actividades sospechosas son medidas igualmente importantes.

AuthQuake fue un recordatorio de que incluso los sistemas de seguridad más avanzados requieren pruebas regulares y ajustes para hacer frente a las amenazas modernas.