Evasión de MFA: El reporte de amenazas 2026 de SentinelOne

El panorama de la ciberseguridad en 2026 ha alcanzado un punto de inflexión crítico. Según el reciente SentinelOne 2026 Annual Threat Report, publicado el 22 de abril de 2026, las tácticas de los atacantes han evolucionado de simples intentos de phishing a lo que el informe denomina “intrusiones industrializadas”. El núcleo de esta crisis reside en la sofisticación extrema de la evasión de MFA (autenticación multifactor), un proceso que ha pasado de ser una técnica artesanal a un flujo de trabajo automatizado y potenciado por inteligencia artificial que compromete cuentas corporativas a una escala sin precedentes.

El Playbook del Atacante: Las 8 Fases de la Intrusión Moderna

El reporte de SentinelOne desglosa el ciclo de vida de los ataques actuales en un modelo de ocho fases. A diferencia de los ataques lineales del pasado, estas fases están diseñadas para explotar la confianza intrínseca en los sistemas de identidad modernos. La evasión de MFA no es solo un paso técnico, sino el eje central de toda la operación.

1. Reconocimiento e Ingeniería Social hiper-personalizada: Utilizando modelos de lenguaje de gran escala (LLM), los atacantes generan señuelos específicos para el rol de la víctima, analizando perfiles públicos y directorios corporativos en tiempo real.
2. Despliegue de Infraestructura Efímera: Los actores de amenazas utilizan plataformas de automatización para levantar miles de nodos de sondeo (polling nodes) de vida corta, evitando así las listas negras de IP estáticas.
3. Intercepción de la Autenticación (MFA Bypass): Aquí es donde ocurre la evasión de MFA mediante kits de Adversary-in-the-Middle (AiTM) o el abuso de flujos de códigos de dispositivo.
4. Secuestro de Sesión y Robo de Tokens: Una vez que el usuario se autentica legalmente, el atacante intercepta el token de sesión o la cookie de autenticación, permitiéndole “saltar” dentro de la sesión activa sin volver a interactuar con el factor de seguridad.
5. Persistencia mediante OAuth: El atacante solicita consentimientos de aplicaciones OAuth maliciosas que le otorgan acceso persistente, incluso si el usuario cambia su contraseña o el token de sesión expira.
6. Movimiento Lateral en Pipelines de CI/CD: El informe destaca un cambio hacia los entornos de desarrollo, donde los atacantes buscan secretos y claves de acceso en las cadenas de suministro de software.
7. Escalada de Privilegios y Desactivación de Controles: Al comprometer cuentas con privilegios administrativos, los atacantes proceden a desactivar los requisitos de MFA para grupos organizacionales enteros, facilitando el acceso a otros actores.
8. Exfiltración de Datos y Explotación de Impacto: Finalmente, se extraen bases de datos críticas como el archivo NTDS.dit o colmenas del registro de Windows para realizar ataques de Pass-the-Hash a gran escala.

La Crisis del Flujo de Código de Dispositivo (Device Code Flow)

Uno de los hallazgos más alarmantes del informe de SentinelOne es el éxito masivo en la explotación del flujo de autenticación por código de dispositivo (Device Code Auth). Originalmente diseñado para dispositivos sin navegador (como Smart TVs o impresoras), este flujo ha sido convertido en un arma por herramientas como EvilTokens.

Los atacantes han logrado eludir la ventana estándar de expiración de 15 minutos para los códigos de dispositivo. Mediante el uso de automatización en el backend, los kits de phishing generan el código dinámicamente en el preciso instante en que la víctima interactúa con el enlace malicioso. Esto garantiza que el flujo de autenticación siempre sea válido cuando el usuario ingresa el código en el sitio legítimo (por ejemplo, microsoft.com/devicelogin). Dado que la víctima está interactuando con el dominio real de Microsoft o Google, la evasión de MFA se vuelve invisible para las herramientas de seguridad perimetral tradicionales que solo analizan la reputación de la URL.

El Papel de la Inteligencia Artificial en el Phishing de 2026

La IA generativa ha eliminado las “pistas clásicas” del phishing. En 2026, los correos electrónicos maliciosos ya no presentan errores gramaticales ni remitentes sospechosos de manera obvia. Los ataques son “context-aware”; es decir, pueden hacer referencia a proyectos reales internos, facturas específicas o flujos de trabajo de manufactura que el atacante ha descubierto en fases previas de reconocimiento. Esta personalización extrema asegura una tasa de clics mucho mayor, llevando a los usuarios directamente hacia trampas de evasión de MFA donde el factor humano es el eslabón más débil.

Vulnerabilidades en la Gestión de Sesiones y Cookies

El reporte subraya que el problema ya no es solo “entrar”, sino cómo los atacantes “permanecen”. La evasión de MFA es altamente efectiva porque la mayoría de las organizaciones protegen el evento de inicio de sesión, pero descuidan la gestión de la sesión posterior.

• Robo de Tokens de Sesión: Los kits de AiTM actúan como un proxy invisible. El usuario ve la página real, ingresa sus credenciales y completa el desafío MFA. Sin embargo, el atacante captura el token resultante.
• Ataques de “Downgrade”: Incluso cuando se implementan métodos modernos, los atacantes buscan fallbacks heredados (como códigos SMS o llamadas de voz) para forzar una evasión de MFA más sencilla.
• Fatiga de MFA (Push Bombing): Aunque es una técnica conocida, el reporte indica que el 1% de los usuarios todavía aprueba notificaciones push fraudulentas tras ser bombardeados con decenas de solicitudes, una estadística que los atacantes aprovechan mediante bots de alta velocidad.

La Transición Imperativa hacia FIDO2 y Passkeys

Ante la industrialización de la evasión de MFA, SentinelOne insta a las organizaciones a abandonar los métodos de autenticación basados en secretos compartidos (OTP, SMS, notificaciones push) en favor de estándares resistentes al phishing.

¿Por qué FIDO2 es la solución?

El estándar FIDO2 (WebAuthn) utiliza criptografía de clave pública y, lo más importante, vincula la credencial al dominio de origen. A diferencia de un código de 6 dígitos que puede ser dictado o ingresado en una página falsa, una llave de seguridad de hardware o un Passkey solo responderá a un desafío criptográfico proveniente del dominio legítimo registrado. Esto hace que sea técnicamente imposible para un sitio de phishing interceptar o reutilizar la respuesta de autenticación, neutralizando efectivamente los kits de AiTM.

Medidas recomendadas para la mitigación:

• Eliminar métodos de fallback vulnerables: Una vez desplegado FIDO2, es crucial desactivar SMS y autenticación por voz para evitar ataques de degradación de seguridad.
• Implementar Evaluación de Acceso Continuo (CAE): No basta con validar la identidad al inicio; los sistemas deben monitorear anomalías en el comportamiento de la sesión (como “viajes imposibles” o cambios de IP) y revocar tokens instantáneamente.
• Gobernanza de OAuth: Auditar y limitar las aplicaciones de terceros que tienen permisos para generar tokens en nombre de los usuarios, cerrando la puerta a la persistencia silenciosa.
• Restringir el Flujo de Código de Dispositivo: Bloquear este flujo mediante políticas de acceso condicional (como las de Microsoft Entra ID) para todos los usuarios que no tengan una necesidad técnica justificada.

Conclusión: Hacia una Identidad sin Perímetros

El informe de SentinelOne de 2026 deja claro que la identidad es el nuevo perímetro. La evasión de MFA ha dejado de ser una anomalía para convertirse en el método operativo estándar de los grupos de ciberdelincuencia más avanzados. La dependencia excesiva en el MFA tradicional ha creado una falsa sensación de seguridad que los atacantes están explotando con precisión quirúrgica.

Para sobrevivir en este entorno, las empresas deben evolucionar de una defensa basada en “momentos de autenticación” a una estrategia de seguridad de identidad continua. Esto implica no solo adoptar hardware de seguridad resistente al phishing, sino también implementar análisis de comportamiento post-autenticación (UEBA) que pueda detectar a un impostor que ya posee credenciales válidas. En la era de la IA y la automatización a escala industrial, la única defensa real es la que no confía en la sesión, sino que la verifica constantemente.