La autenticación FIDO (Fast Identity Online), uno de los métodos más seguros y resistentes al phishing en la actualidad, podría no ser tan infalible como se pensaba. Una investigación de la compañía de ciberseguridad Proofpoint advierte sobre un nuevo tipo de ataque de degradación que permitiría a los ciberdelincuentes eludir este sistema y poner en riesgo tanto a usuarios como a organizaciones.

El ataque se basa en una vulnerabilidad derivada de que no todos los navegadores web admiten la autenticación FIDO2 con Microsoft Entra ID. Los atacantes pueden suplantar un navegador no compatible y obligar al sistema a recurrir a una verificación más débil, lo que les abre la puerta al robo de credenciales y cookies de sesión, con el consiguiente riesgo de apropiación de cuentas.

FIDO fue diseñado precisamente para reducir la dependencia de contraseñas y frenar el phishing, combinando claves de seguridad físicas con biometría o PIN. En condiciones normales, los kits de phishing tradicionales no logran superar este sistema. Sin embargo, la investigación alerta de que la creación de “phishlets” específicos podría hacer viable la degradación del método.

Por ahora, Proofpoint no ha detectado este tipo de ataques en la práctica. Los expertos creen que la mayoría de ciberdelincuentes siguen apostando por métodos más simples, como dirigirse a usuarios con contraseñas débiles o autenticación de un solo factor. No obstante, consideran que en el futuro los grupos más sofisticados, incluidos actores patrocinados por Estados, podrían adoptar esta técnica.

“Las claves de acceso basadas en FIDO continúan siendo una de las mejores defensas frente al phishing y la apropiación de cuentas. Hoy los atacantes se concentran en sistemas menos protegidos, pero es posible que evolucionen sus tácticas para intentar explotar este tipo de vulnerabilidades”, concluyen los investigadores de Proofpoint.