Tabla de contenidos
Desde hace unos meses, un método formidable de piratería ataca las cuentas de Microsoft 365, explotando hábilmente el flujo OAuth para eludir contraseñas y autenticación multifactor. Campañas de phishing a gran escala utilizan esta técnica para acceder directamente a las cuentas de los usuarios, cuestionando la seguridad de los sistemas más protegidos.
Las 3 informaciones que no debes perderte
El flujo OAuth es un mecanismo de autenticación comúnmente utilizado para autorizar aplicaciones a acceder a cuentas de Microsoft, sin necesidad de contraseñas. Se genera un código temporal que el usuario debe ingresar para validar esta autorización. Los ciberdelincuentes explotan esta funcionalidad enviando correos electrónicos de phishing que parecen auténticos.
Estos correos contienen enlaces que llevan a páginas controladas por los atacantes, imitando la apariencia de la organización objetivo. Los usuarios son engañados haciéndoles creer que están validando una autorización legítima, mientras que en realidad están otorgando acceso a su cuenta a una aplicación maliciosa.
Las campañas de phishing que explotan el flujo OAuth utilizan mensajes que evocan temas comunes y atractivos como documentos compartidos o bonificaciones salariales. Estos mensajes pueden formar parte de intercambios reales, aumentando así su credibilidad. Las víctimas, al ingresar el código proporcionado, otorgan sin saberlo un acceso completo a su cuenta a los ciberdelincuentes.
Proofpoint, una empresa especializada en ciberseguridad, ha observado un fuerte aumento de estos ataques, llevados a cabo por grupos conocidos por su experiencia en phishing. El grupo TA2723, por ejemplo, está involucrado en estas actividades desde el otoño pasado, apuntando a sectores sensibles en Europa y Estados Unidos.
Para protegerse de estos ataques, las organizaciones deben examinar de cerca los accesos OAuth. Se aconseja limitar estrictamente las aplicaciones que tienen acceso a las cuentas, controlar los consentimientos ya otorgados y restringir el uso de los flujos de autorización por código a los contextos necesarios. También se recomiendan auditorías regulares de las aplicaciones autorizadas.
Los usuarios, por su parte, deben ser vigilantes y nunca ingresar un código en la interfaz de Microsoft si no han iniciado el proceso de autorización. Cualquier solicitud relacionada con un documento, una bonificación o una verificación de cuenta debe considerarse con sospecha, incluso si parece provenir de una fuente legítima.
Microsoft 365, conocido anteriormente como Office 365, es un conjunto de servicios en la nube que integra herramientas de productividad como Word, Excel y Teams. Desde su lanzamiento, la plataforma se ha convertido en un pilar para las empresas e instituciones de todo el mundo, haciendo que sus cuentas sean muy codiciadas por los ciberdelincuentes. Los ataques dirigidos a estas cuentas han evolucionado a lo largo de los años, desde simples robos de contraseñas hasta técnicas de phishing sofisticadas como las que utilizan el flujo OAuth.
Los esfuerzos para asegurar Microsoft 365 se han intensificado, especialmente con la integración de la autenticación multifactor y políticas de acceso condicional. Sin embargo, la creciente sofisticación de los ciberataques pone de relieve la necesidad de una mayor vigilancia y una educación continua de los usuarios para prevenir compromisos de datos.