Detectada campaña híbrida que suplanta apps OAuth de Microsoft para eludir la MFA en ataques de phishing

Proofpoint ha identificado una amenaza híbrida que combina correo electrónico y servicios en la nube para eludir la autenticación multifactor (MFA) en cuentas de Microsoft 365. La técnica se basa en el uso de aplicaciones OAuth falsas que suplantan servicios como SharePoint, Adobe o DocuSign, permitiendo a los atacantes obtener acceso persistente y ejecutar acciones maliciosas.

Mecanismo del ataque

Los ciberdelincuentes emplean kits de phishing de intermediario (AiTM) como Tycoon y ODX, capaces de interceptar credenciales, tokens MFA y cookies de sesión. Con esta información, pueden:

• Realizar movimientos laterales dentro de la red corporativa.
• Instalar malware adicional.
• Ejecutar nuevas campañas de phishing desde cuentas legítimas comprometidas.

Según Proofpoint, desde enero de 2025 se han detectado más de 50 aplicaciones falsas y cerca de 3.000 intentos de compromiso en 900 entornos de Microsoft 365, con una tasa de éxito confirmada superior al 50%.

Sectores y técnicas de ingeniería social

Algunas campañas están dirigidas a industrias específicas como la aeroespacial y la de defensa. Los atacantes utilizan señuelos temáticos, por ejemplo, solicitudes de presupuesto o contratos comerciales. Muchos mensajes se envían desde cuentas ya comprometidas y alcanzan a miles de usuarios.

Caso observado: Suplantación de Adobe vía SendGrid

En una de las campañas, se enviaban correos a través de SendGrid con un enlace único que redirigía a una aplicación OAuth fraudulenta en Microsoft Azure. Independientemente de la interacción del usuario, el flujo llevaba a una web de autenticación falsa con la imagen corporativa de Entra ID para capturar datos de acceso y elementos de sesión.

Respuesta de Microsoft y perspectivas

En junio, Microsoft anunció una actualización de la configuración predeterminada de Microsoft 365, cuyo despliegue finaliza en agosto, que incluye el bloqueo de protocolos de autenticación heredados y la exigencia de consentimiento administrativo para aplicaciones de terceros. Proofpoint anticipa que estas medidas mitigarán este tipo de ataques, aunque advierte que el phishing de credenciales con técnicas AiTM se está convirtiendo en un estándar en el cibercrimen.

Recomendaciones de mitigación

Proofpoint sugiere un enfoque en capas que incluya:

• Seguridad de correo para bloquear y monitorizar amenazas.
• Protección en la nube para detectar accesos no autorizados.
• Remediación automática para reducir el tiempo de permanencia del atacante.
• Seguridad web para aislar sesiones sospechosas.
• Formación en concienciación de seguridad para los usuarios de Microsoft 365.
• Uso de llaves de seguridad físicas basadas en FIDO.

(silicon.es)

Les estaremos informando con mucho más detalle, en el marco del informe especial: “Soluciones y productos de infraestructura para edificios y ciudades inteligentes (Sistemas BIM y BMS), POL (Passive Optical LAN). Seguridad integrada, video vigilancia y control de acceso. Casos de uso y aplicabilidad de cada solución y producto, incluyendo la colaboración digital (relacionado a realidad virtual sistema BIM) (Gemelos digitales). Buenas prácticas ambientales.», que estamos preparando para nuestra edición 216 y publicaremos en el mes de agosto.

Mantente conectado a nuestra revista Channel News Perú, haciendo clic aquí y suscribiéndote a nuestro newsletter para contenido de valor diario.