Ciberataques a cuentas de Microsoft 365: Cómo están vulnerando la seguridad
Desde septiembre, se ha desatado una ola de ciberataques que están poniendo en jaque la seguridad de las cuentas de Microsoft 365. Estas campañas utilizan un flujo de autenticación OAuth, lo que permite a aplicaciones o servicios acceder a las cuentas sin necesidad de contraseñas tradicionales.
Entendiendo el flujo de autenticación OAuth
El flujo de autenticación OAuth es un mecanismo que permite a los usuarios autorizar aplicaciones de terceros a acceder a su información sin compartir sus credenciales. Este proceso implica la generación de un código temporal que el usuario debe ingresar en la interfaz de Microsoft. Sin embargo, este sistema, aunque diseñado para ser seguro, está siendo explotado por ciberdelincuentes.
Estrategias utilizadas por los atacantes
En las investigaciones realizadas por Proofpoint, se han observado correos electrónicos fraudulentos que aparentan ser comunicaciones legítimas. Los mensajes pueden hacer referencia a documentos compartidos, bonificaciones salariales o verificaciones de cuentas. Además, los atacantes a menudo imitan mensajes previos de cuentas comprometidas, lo que incrementa la credibilidad de la solicitud y disminuye las sospechas.
La trampa: páginas falsas y códigos temporales
Los correos electrónicos contienen enlaces que redirigen a páginas controladas por los atacantes. Estas páginas son diseñadas para parecerse a las de la organización objetivo. Al acceder, las víctimas son instruidas a ingresar un código, que puede ser presentado como una contraseña de un solo uso o como una solicitud de reautorización de acceso.
Al ingresar este código en la interfaz de Microsoft, el usuario, sin saberlo, otorga acceso a un servicio controlado por el atacante. Este método es especialmente peligroso ya que no requiere que la víctima comparta su contraseña ni que se intercepten los códigos de autenticación de múltiples factores (MFA).
Aumento de ataques y actores implicados
Proofpoint ha documentado un aumento significativo en este tipo de ataques, perpetrados tanto por grupos de cibercriminales especializados en phishing a gran escala como por actores estatales. Uno de los grupos destacados es el TA2723, conocido por sus ataques mediante la suplantación de servicios como OneDrive, LinkedIn y DocuSign. Además, se han identificado actividades vinculadas a actores sospechosos de tener conexiones con Rusia, atacando especialmente a instituciones gubernamentales, universidades y organismos de investigación en Europa y Estados Unidos.
Medidas de protección y prevención
Es crucial que los usuarios de Microsoft 365 se informen sobre estas amenazas y tomen medidas proactivas para proteger sus cuentas. Aquí algunas recomendaciones:
Verificación en dos pasos: Aunque el MFA es crítico, es importante también estar atento a las solicitudes de autorización inusuales.
Educación sobre phishing: Familiarizarse con las tácticas utilizadas en el phishing puede ayudar a identificar correos electrónicos sospechosos.
Autenticación de aplicaciones de terceros: Revisar las aplicaciones que tienen acceso a la cuenta y revocar aquellos que parezcan sospechosos.
Actualizaciones de seguridad: Mantener el software y las configuraciones de seguridad actualizadas para minimizar vulnerabilidades.
Conclusión
La ola de ataques a cuentas de Microsoft 365 destaca la importancia de la ciberseguridad en el entorno actual. Con la creciente sofisticación de los métodos utilizados por los atacantes, es fundamental que las organizaciones y los usuarios individuales tomen conciencia y estén alertas para proteger su información sensible.
About the Author
