Desde septiembre, se ha desatado una ola de ciberataques que est\u00e1n poniendo en jaque la seguridad de las cuentas de Microsoft 365. Estas campa\u00f1as utilizan un flujo de autenticaci\u00f3n OAuth, lo que permite a aplicaciones o servicios acceder a las cuentas sin necesidad de contrase\u00f1as tradicionales.<\/p>\n
El flujo de autenticaci\u00f3n OAuth es un mecanismo que permite a los usuarios autorizar aplicaciones de terceros a acceder a su informaci\u00f3n sin compartir sus credenciales. Este proceso implica la generaci\u00f3n de un c\u00f3digo temporal que el usuario debe ingresar en la interfaz de Microsoft. Sin embargo, este sistema, aunque dise\u00f1ado para ser seguro, est\u00e1 siendo explotado por ciberdelincuentes.<\/p>\n
En las investigaciones realizadas por Proofpoint, se han observado correos electr\u00f3nicos fraudulentos que aparentan ser comunicaciones leg\u00edtimas. Los mensajes pueden hacer referencia a documentos compartidos, bonificaciones salariales o verificaciones de cuentas. Adem\u00e1s, los atacantes a menudo imitan mensajes previos de cuentas comprometidas, lo que incrementa la credibilidad de la solicitud y disminuye las sospechas.<\/p>\n
Los correos electr\u00f3nicos contienen enlaces que redirigen a p\u00e1ginas controladas por los atacantes. Estas p\u00e1ginas son dise\u00f1adas para parecerse a las de la organizaci\u00f3n objetivo. Al acceder, las v\u00edctimas son instruidas a ingresar un c\u00f3digo, que puede ser presentado como una contrase\u00f1a de un solo uso o como una solicitud de reautorizaci\u00f3n de acceso.<\/p>\n
Al ingresar este c\u00f3digo en la interfaz de Microsoft, el usuario, sin saberlo, otorga acceso a un servicio controlado por el atacante. Este m\u00e9todo es especialmente peligroso ya que no requiere que la v\u00edctima comparta su contrase\u00f1a ni que se intercepten los c\u00f3digos de autenticaci\u00f3n de m\u00faltiples factores (MFA).<\/p>\n
Proofpoint ha documentado un aumento significativo en este tipo de ataques, perpetrados tanto por grupos de cibercriminales especializados en phishing a gran escala como por actores estatales. Uno de los grupos destacados es el TA2723, conocido por sus ataques mediante la suplantaci\u00f3n de servicios como OneDrive, LinkedIn y DocuSign. Adem\u00e1s, se han identificado actividades vinculadas a actores sospechosos de tener conexiones con Rusia, atacando especialmente a instituciones gubernamentales, universidades y organismos de investigaci\u00f3n en Europa y Estados Unidos.<\/p>\n
Es crucial que los usuarios de Microsoft 365 se informen sobre estas amenazas y tomen medidas proactivas para proteger sus cuentas. Aqu\u00ed algunas recomendaciones:<\/p>\n
Verificaci\u00f3n en dos pasos<\/strong>: Aunque el MFA es cr\u00edtico, es importante tambi\u00e9n estar atento a las solicitudes de autorizaci\u00f3n inusuales.<\/p>\n<\/li>\n Educaci\u00f3n sobre phishing<\/strong>: Familiarizarse con las t\u00e1cticas utilizadas en el phishing puede ayudar a identificar correos electr\u00f3nicos sospechosos.<\/p>\n<\/li>\n Autenticaci\u00f3n de aplicaciones de terceros<\/strong>: Revisar las aplicaciones que tienen acceso a la cuenta y revocar aquellos que parezcan sospechosos.<\/p>\n<\/li>\n Actualizaciones de seguridad<\/strong>: Mantener el software y las configuraciones de seguridad actualizadas para minimizar vulnerabilidades.<\/p>\n<\/li>\n<\/ol>\n La ola de ataques a cuentas de Microsoft 365 destaca la importancia de la ciberseguridad en el entorno actual. Con la creciente sofisticaci\u00f3n de los m\u00e9todos utilizados por los atacantes, es fundamental que las organizaciones y los usuarios individuales tomen conciencia y est\u00e9n alertas para proteger su informaci\u00f3n sensible.<\/p>\nConclusi\u00f3n<\/h3>\n