← Alertas
Phishing En monitoreo

MFA por notificación push: por qué ya no es suficiente y qué hacer al respecto

Un atacante con tu contraseña puede saturar tu teléfono con solicitudes de aprobación MFA hasta que aceptas una por fatiga o distracción. No necesita robar el segundo factor — solo necesita que lo apruebes tú. Si la empresa usa MFA por notificación push sin controles adicionales, la autenticación no da la protección que parece.

2026-05-26 · The Hacker News

Contexto

El ataque de MFA Prompt Bombing — también llamado fatiga de MFA — funciona así: el atacante tiene las credenciales robadas de un usuario. Inicia sesión repetidamente, lo que dispara decenas de notificaciones push al teléfono de la víctima. La mayoría de usuarios eventualmente aprueba una para que paren las notificaciones, o lo hace por error creyendo que fue su propia sesión. El atacante obtiene acceso completo sin haber superado el segundo factor técnicamente.

Impacto potencial

Una cuenta corporativa comprometida puede abrir acceso a correo, archivos, sistemas internos y otras cuentas conectadas.

Si la cuenta tiene privilegios elevados — finanzas, dirección, administración de sistemas — el daño potencial es proporcional al acceso que otorga.

El vector no requiere malware. No requiere exploits. Solo requiere que el usuario apruebe sin pensar. Eso lo hace difícil de detectar y fácil de escalar.

Recomendaciones

Leer fuente original →