Los cibercriminales están abandonando el robo de contraseñas tradicional. Ahora, utilizan aplicaciones maliciosas integradas en Microsoft 365 para engañar a los usuarios y obtener acceso total y persistente sin necesidad de robar una sola clave.
Una nueva y peligrosa variante de ataque está ganando tracción en el panorama corporativo. Investigadores de seguridad han alertado sobre una sofisticada campaña basada en OAuth (Open Authorization), el estándar abierto que utilizamos a diario para “Iniciar sesión con Google/Microsoft”.
En lugar de intentar robar tu contraseña (lo cual a menudo es detenido por la autenticación multifactor o MFA), los atacantes están engañando a las víctimas para que autoricen a una aplicación maliciosa a acceder a sus datos.
¿Cómo funciona el ataque?
El mecanismo es sutil y abusa de la confianza del usuario en las interfaces legítimas de Microsoft:
- El Cebo: La víctima recibe un correo de phishing (supuesta factura, documento compartido o actualización de RR.HH.) con un enlace.
- La Redirección: Al hacer clic, no se le lleva a una web falsa. Se le redirige a la página de inicio de sesión oficial y legítima de Microsoft.
- El Engaño: Una vez autenticado, aparece una ventana emergente de “Solicitud de Permisos” (Consent Prompt). Esta ventana pide acceso para una aplicación que parece inofensiva (ej. “PDF Reader”, “HR Tool” o “System Update”).
- El Robo: Si el usuario hace clic en “Aceptar”, no está descargando un virus; está entregando un Token de Acceso (OAuth Token) al atacante.
Permisos Peligrosos
Las aplicaciones maliciosas suelen solicitar permisos que otorgan control total, tales como:
- Mail.Read / Mail.ReadWrite: Leer y escribir correos electrónicos.
- User.Read: Acceder al perfil del usuario.
- Offline_access: Mantener el acceso incluso cuando el usuario no está conectado (mediante Refresh Tokens).
Por qué es letal: Bypass de MFA
Lo que hace a este ataque (“Illicit Consent Grant”) tan efectivo es que elude completamente el MFA. Como el usuario ya inició sesión legalmente y aprobó la aplicación, el atacante obtiene un token digital que funciona como una llave maestra. Mientras el token sea válido (o se renueve), el criminal puede acceder al correo, descargar archivos de OneDrive y espiar comunicaciones sin volver a pedir contraseña ni código de segundo factor.
Impacto en la Organización
Una vez comprometida una cuenta, los atacantes la utilizan para:
- BEC (Business Email Compromise): Enviar facturas falsas a clientes desde la cuenta real del empleado.
- Movimiento Lateral: Usar la confianza interna para atacar a otros departamentos.
- Persistencia: Incluso si la víctima cambia su contraseña, el token de la aplicación maliciosa sigue funcionando hasta que se revoca explícitamente.
Recomendaciones
- Restringir el Consentimiento de Usuario: Los administradores de Microsoft 365/Google Workspace deben configurar las políticas para impedir que los usuarios aprueben aplicaciones de terceros no verificadas.
- Flujo de Aprobación de Admin: Implementar un sistema donde cualquier solicitud de nueva aplicación deba ser revisada y aprobada por el equipo de TI.
- Auditoría de Aplicaciones: Revisar periódicamente en el portal de Azure AD (Entra ID) las “Aplicaciones Empresariales” registradas y revocar aquellas que parezcan sospechosas o tengan pocos usuarios y altos privilegios.
