Vulnerabilidad en el protocolo BAV2ROPC permite eludir MFA y comprometer credenciales
Recientemente, la firma de ciberseguridad Guardz reportó un incidente crítico en el que atacantes explotaron una vulnerabilidad en el protocolo BAV2ROPC (Basic Authentication Version 2 to ROPC), permitiéndoles eludir mecanismos de autenticación multifactor (MFA) y acceder a sistemas protegidos utilizando únicamente credenciales básicas. Este fallo, activo entre el 18 de marzo y el 7 de abril de 2025, subraya los riesgos asociados con protocolos obsoletos en entornos modernos.
¿Qué es el protocolo BAV2ROPC?
BAV2ROPC es un protocolo heredado diseñado para facilitar autenticaciones no interactivas mediante el flujo “Resource Owner Password Credentials” (ROPC). Su función principal era permitir el acceso a servicios sin requerir interacción del usuario final, utilizando solo nombre de usuario y contraseña. Sin embargo, su diseño no incorpora capas de seguridad modernas como MFA o tokens OAuth 2.0, lo que lo hace vulnerable a ataques de fuerza bruta y replay.
Mecanismo de explotación
Los atacantes aprovecharon tres debilidades clave:
- Falta de validación de MFA: El protocolo procesaba credenciales sin verificar segundos factores de autenticación.
- Compatibilidad retrógrada: Sistemas modernos mantenían habilitado BAV2ROPC para soportar aplicaciones legacy.
- Canales no cifrados: En algunos casos, las credenciales se transmitían en texto claro durante la autenticación.
Este vector de ataque permitió a los actores maliciosos acceder a cuentas privilegiadas incluso cuando estaban protegidas por MFA basado en SMS, TOTP o autenticadores biométricos.
Implicaciones técnicas y contramedidas
Organizaciones afectadas deben implementar las siguientes medidas:
- Deshabilitar protocolos legacy: Eliminar soporte para BAV2ROPC y migrar a OAuth 2.0 con PKCE.
- Monitoreo de logs: Buscar patrones de autenticación no interactiva en sistemas críticos.
- Segmentación de red: Aislar sistemas que requieran compatibilidad con protocolos obsoletos.
- Actualizar políticas de Conditional Access: Configurar reglas que bloqueen intentos de autenticación sin MFA.
Lecciones aprendidas
Este incidente demuestra que la seguridad no solo depende de implementar controles modernos como MFA, sino también de eliminar componentes heredados que pueden servir como puertas traseras. Las organizaciones deben realizar auditorías periódicas de protocolos de autenticación y adoptar modelos Zero Trust para minimizar superficies de ataque.
Para más detalles técnicos sobre este incidente, consulta el reporte completo en Fuente original.
