Un servidor mal configurado destapa tres campañas de phishing que burlan el acceso a Microsoft 365
Un error de configuración en un servidor ha dejado al descubierto tres campañas de phishing activas que atacaban cuentas de Microsoft 365. El fallo, tan simple como peligroso, consistió en exponer un directorio web sin protección, permitiendo acceder a archivos sensibles como el historial de comandos (.bash_history). Esto reveló no solo la infraestructura de los atacantes, sino también sus métodos: combinaban herramientas públicas como Evilginx con técnicas avanzadas para burlar la autenticación multifactor (MFA). Lo preocupante es que estos grupos operaban de forma independiente, pero con estrategias similares, lo que sugiere que el phishing contra entornos cloud se está profesionalizando.
Dos técnicas clave: proxy inverso y Device Code
Los ciberdelincuentes empleaban principalmente dos métodos. El primero, el phishing con proxy inverso (AiTM), intercepta la comunicación entre la víctima y Microsoft 365, capturando cookies de sesión para eludir la MFA tradicional. El segundo, más sigiloso, explotaba el flujo OAuth Device Code, que permite obtener tokens de acceso sin necesidad de robar contraseñas o clonar páginas de inicio de sesión. En una variante llamada "red-queen", los atacantes modificaban atributos HTML para evitar detecciones y configuraban cookies con una validez de hasta un año, lo que les daba tiempo para actuar incluso si la víctima cambiaba su contraseña.
Los datos recuperados muestran que una de las campañas, basada en Device Code, afectó a 218 víctimas en 12 países entre junio de 2025 y julio de 2026, principalmente buzones corporativos. Además, se encontraron tokens con renovación automática, lo que indica que los atacantes automatizaban el proceso para mantener el acceso a las cuentas de forma prolongada. Pero el peligro no terminaba ahí: una vez dentro, desplegaban herramientas de gestión remota (RMM) como SimpleHelp o XEOX para mantener el control, instalar malware o robar más credenciales. Esto convierte un simple robo de acceso en una puerta abierta para moverse por la red de la empresa.
El caso demuestra que la ciberseguridad en entornos cloud no depende solo de contraseñas o MFA básica. Aunque tecnologías como FIDO2 o passkeys reducen el riesgo del phishing tradicional, no son suficientes contra ataques que explotan flujos como Device Code. Aquí, la clave está en configuraciones avanzadas: bloquear el flujo Device Code en Microsoft Entra ID si no es necesario, aplicar políticas de Acceso Condicional para limitar la vida útil de los tokens y auditar concesiones sospechosas. También es crucial revisar los registros en busca de sesiones anómalas, especialmente aquellas vinculadas a IPs o ubicaciones inusuales.
Qué significa para tu negocio
Si tu pyme usa Microsoft 365, este caso es un recordatorio de que la seguridad no es solo cuestión de herramientas, sino de configuración y supervisión. Un error como un servidor mal protegido o una política de tokens demasiado permisiva puede exponer tus datos y los de tus clientes. Revisa si tienes activado el Acceso Condicional en tu entorno, limita el uso de Device Code a casos estrictamente necesarios y monitoriza los inicios de sesión sospechosos. Además, forma a tu equipo para que identifique intentos de phishing, incluso aquellos que no piden contraseñas directamente. En ciberseguridad, la prevención no es un gasto, es una inversión: un ataque exitoso puede paralizar tu negocio, dañar tu reputación y generar costes legales. Si no tienes recursos internos para gestionarlo, considera externalizar la supervisión de seguridad con herramientas como LaiaDesk, que te alertan de comportamientos anómalos antes de que sea demasiado tarde.
Fuente original: Hispasec — una al día
Conversación
Inicia sesión para comentar y reaccionar.
EntrarSé el primero en comentar.