La empresa de ciberseguridad Proofpoint ha detectado un notable incremento de campañas destinadas a tomar el control de cuentas de Microsoft 365, en las que los atacantes abusan de las autorizaciones OAuth, un proceso de inicio de sesión legítimo del propio Microsoft. Esta técnica permite a los ciberdelincuentes acceder a cuentas corporativas sin necesidad de robar contraseñas de forma directa.
Según explica la compañía, estos ataques comienzan con un mensaje inicial que incluye una URL incrustada en un botón, un enlace de texto o incluso un código QR. Al acceder a ese enlace, el usuario entra en una secuencia que aprovecha el proceso legítimo de autorización de dispositivos de Microsoft. En ese momento, la víctima recibe un código de dispositivo —ya sea en la propia página o en un segundo correo electrónico enviado por el atacante— que se presenta como una contraseña de un solo uso (OTP). Al introducirlo en la página oficial de verificación de Microsoft, el token queda validado y el atacante obtiene acceso a la cuenta de Microsoft 365 comprometida.
Proofpoint advierte de que este tipo de phishing mediante códigos de dispositivo puede derivar en el robo de información, movimientos laterales dentro de la red corporativa y compromisos persistentes de los sistemas. Aunque la técnica no es completamente nueva, los investigadores destacan que resulta especialmente preocupante su uso simultáneo por parte de múltiples grupos de amenazas, entre ellos TA2723, el grupo proestado ruso UNK_AcademicFlare y otros actores maliciosos.
El informe también señala la existencia de herramientas que facilitan la expansión de estos ataques, como los kits SquarePhish2 y Graphish, además de aplicaciones maliciosas disponibles en foros de hacking que automatizan el phishing con códigos de dispositivo y reducen las barreras técnicas para los atacantes.
Como principal medida de mitigación, Proofpoint recomienda bloquear por completo el flujo de códigos de dispositivo siempre que sea posible. En los casos en los que no resulte viable, aconseja aplicar listas de permitidos restringidas a usos concretos y justificados, exigiendo además que los inicios de sesión se realicen desde dispositivos conformes o previamente registrados. Estas medidas deben ir acompañadas de una mayor concienciación y formación de los usuarios frente a este tipo de ataques no tradicionales.
“Esta tendencia supone una evolución significativa del phishing, que deja atrás el robo de contraseñas para abusar de flujos de autenticación de confianza, haciendo creer a los usuarios que están protegiendo sus cuentas”, señalan los investigadores de Proofpoint. En este sentido, recomiendan a las organizaciones reforzar los controles sobre OAuth y la formación de los empleados, especialmente en un contexto en el que se están implantando de forma creciente sistemas de autenticación multifactor resistentes al phishing, como los basados en el estándar FIDO, lo que podría provocar un aumento de este tipo de abusos en el futuro.
