Una reciente investigación de Proofpoint, una destacada compañía de ciberseguridad, ha puesto en jaque la percepción de invulnerabilidad de la autenticación FIDO, considerada uno de los baluartes contra el phishing. Este sistema, diseñado para minimizar la dependencia de contraseñas mediante la combinación de claves de seguridad físicas con biometría o PIN, podría no ser tan seguro como se pensaba debido a una nueva amenaza: el ataque de degradación.
El informe señala que la vulnerabilidad surge porque no todos los navegadores web son compatibles con la autenticación FIDO2 junto a Microsoft Entra ID. Este fallo permite a los ciberdelincuentes suplantar un navegador no compatible, lo que fuerza al sistema a adoptar métodos de verificación más débiles. Esta brecha abre la posibilidad de que los atacantes roben credenciales y cookies de sesión, exponiendo a los usuarios a la posible apropiación de cuentas.
Aunque el sistema FIDO ha sido eficaz contra los kits de phishing tradicionales, la investigación sugiere que la creación de «phishlets» específicos podría potencialmente explotar esta debilidad. Aunque Proofpoint aclara que aún no ha detectado ataques de este tipo en la práctica, advierte sobre el potencial devenir. Los expertos predicen que, aunque por ahora los ciberdelincuentes todavía prefieren métodos más simples, como las contraseñas débiles o la autenticación de un solo factor, grupos más sofisticados o incluso actores estatales podrían adoptar esta técnica en el futuro.
Los investigadores subrayaron que, pese a esta amenaza emergente, las claves de acceso basadas en FIDO siguen siendo una de las mejores defensas contra el phishing y la apropiación de cuentas. Actualmente, los atacantes tienden a concentrarse en sistemas menos protegidos, pero las tácticas podrían evolucionar para explotar estas vulnerabilidades específicas. La comunidad de ciberseguridad se enfrenta al desafío de adaptar y reforzar sus defensas ante un panorama de amenazas que sigue cambiando rápidamente.
