Las cuentas de Microsoft 365 se han posicionado como el botín más deseado por los piratas informáticos. La enorme cantidad de datos corporativos y personales que almacenan, sumada a la vulnerabilidad de contraseñas débiles o la falta de autenticación de doble factor, facilita el trabajo de los atacantes.
Recientemente, la firma de seguridad Proofpoint ha encendido las alarmas sobre una táctica en ascenso. Se trata de una intrusión que permite tomar el control total de las cuentas sin que el propietario lo note, abusando de un protocolo legítimo denominado OAuth.
De acuerdo con las investigaciones, los delincuentes han dejado de enfocarse exclusivamente en el robo tradicional de claves. Ahora, su estrategia se centra en manipular flujos de autenticación confiables, logrando un acceso silencioso tanto en entornos empresariales como privados.
¿Cómo opera esta nueva modalidad de fraude?
El engaño inicia con un mensaje de phishing diseñado para parecer auténtico. Este puede llegar a través de un correo electrónico que incluye botones con URLs ocultas, hipervínculos sospechosos o, en versiones más modernas, códigos QR. El objetivo final es siempre el mismo: dirigir a la víctima a un sitio web controlado por los criminales.
En dicha plataforma, se le entrega al usuario un código de dispositivo. El sistema hace creer a la persona que este paso es parte de un protocolo de seguridad rutinario. Sin embargo, este código actúa realmente como una llave de acceso de un solo uso. El error fatal ocurre cuando el usuario, confiado, introduce dicho código en el portal oficial y legítimo de Microsoft.
Al validar esa credencial, el usuario otorga, sin saberlo, permisos totales sobre su cuenta. A partir de ese instante, el atacante tiene vía libre para:
- Leer y enviar correos electrónicos.
- Descargar documentos confidenciales.
- Extraer información sensible de la organización.
- Realizar movimientos laterales para infectar a otros miembros de la red.
Un salto en la evolución del phishing
Los expertos de Proofpoint destacan que esta técnica representa un cambio de paradigma en el cibercrimen moderno. “Estamos viendo un desplazamiento desde el robo de contraseñas hacia el abuso de procesos de confianza”, señalaron.
Este método es particularmente peligroso porque utiliza dominios reales de Microsoft, lo que reduce las sospechas de las víctimas, quienes creen estar realizando un proceso seguro y oficial.
Software malicioso al alcance de todos
La propagación de esta amenaza se ve facilitada por la comercialización de kits de ataque automatizados. En foros de hacking se distribuyen herramientas como SquarePhish2 y Graphish, las cuales permiten que incluso delincuentes con pocos conocimientos técnicos lancen campañas masivas.
Esta automatización ha provocado que el número de cuentas comprometidas crezca exponencialmente, afectando gravemente la reputación y las finanzas de diversas compañías a nivel global.
Impacto y peligros para las empresas
Cuando un criminal accede a una cuenta de Microsoft 365, las repercusiones pueden ser devastadoras. Los atacantes suelen utilizar la cuenta robada para propagar más phishing, realizar fraudes financieros o secuestrar información crítica.
| Consecuencia | Descripción |
|---|---|
| Robo de Identidad | Suplantación de directivos para autorizar pagos falsos. |
| Fuga de Datos | Acceso a bases de datos de clientes y secretos comerciales. |
| Daño Reputacional | Pérdida de confianza de los clientes por brechas de seguridad. |
Guía de protección: ¿Cómo evitar ser víctima?
Para mitigar este riesgo, los especialistas recomiendan aplicar medidas de seguridad estrictas:
- Bloquear los códigos de dispositivo: Deshabilitar este flujo si no es estrictamente necesario para la operación de la empresa.
- Listas de permitidos: Restringir el uso de este método de autenticación solo a casos específicos y dispositivos verificados.
- Capacitación constante: Educar al personal sobre cómo identificar códigos QR fraudulentos y procesos de verificación inusuales.
- Estándar FIDO: Adoptar sistemas de autenticación multifactor (MFA) que sean resistentes al phishing.
Mantener una vigilancia activa sobre los controles de OAuth es, hoy más que nunca, fundamental para garantizar la integridad de la infraestructura digital en Ecuador y el mundo.
Fuente: Infobae