Cisco Duo es un servicio de autenticación de dos factores del gigante tecnológico que protege los datos de las organizaciones en cada intento de acceso desde cualquier ubicación y dispositivo, proporcionando acceso seguro a las aplicaciones y redes de las empresas. Pero, paradójicamente, ha sufrido una violación de datos.
El incidente se ha producido a través de uno de sus proveedores de telefonía, comprometiendo los mensajes de autenticación multifactor (MFA) enviados a los clientes mediante SMS y VoIP, según informa Security Affairs.
La violación de seguridad se dio el pasado 1 de abril y los actores de amenazas lograron acceso al utilizar las credenciales de un empleado del proveedor que obtuvieron de manera ilícita, con un ataque de phishing.
Posteriormente, los ciberdelincuentes se sirvieron del acceso para descargar un conjunto de registros de mensajes SMS de autenticación multifactor que pertenecen a las cuentas Duo de los clientes.
Cisco ha informado a los afectados
Cisco ha enviado una notificación de violación de datos a los afectados donde explica que "el actor de amenazas descargó registros de mensajes para SMS que se enviaron a ciertos usuarios en su cuenta Duo entre el 1 de marzo de 2024 y el 31 de marzo de 2024".
En la notificación también se aclara que los registros de mensajes no contenían ningún contenido, pero sí albergaban el número de teléfono, operador telefónico, país y estado al que se envió cada mensaje, así como otros metadatos (por ejemplo, fecha y hora del mensaje, tipo de mensaje, etc.).
Una vez descubierta la infracción el proveedor inició de manera inmediata una investigación e implementó medidas de mitigación. La empresa invalidó las credenciales del empleado obtenidas por los ciberdelincuentes y analizó los registros.
Cisco asegura que el proveedor ha comenzado a a implementar medidas para evitar que ocurran incidentes similares en el futuro y "medidas técnicas adicionales para mitigar aún más el riesgo asociado con los ataques de ingeniería social. El proveedor confirmó que también exigirá que los empleados reciban capacitación adicional en concienciación sobre ingeniería social”, concluye.