Cómo los hackers abusan de OAuth 2.0 para robar cuentas de Microsoft 365

Last Updated: 25 de abril de 2025By

Hackers Abusan de los Flujos de Trabajo de OAuth 2.0 para Secuestrar Cuentas de Microsoft 365

En un mundo cada vez más digital, la seguridad de nuestras cuentas es primordial. Recientemente, se ha presentado un preocupante aumento en las actividades de hacking, específicamente con el abuso de flujos de trabajo de OAuth 2.0 para secuestrar cuentas de Microsoft 365. Este artículo explorará a fondo cómo los hackers, particularmente grupos de amenazas de origen ruso, están utilizando técnicas engañosas para comprometer cuentas de empleados de organizaciones vinculadas a Ucrania y derechos humanos. Aprenderás sobre las tácticas empleadas, cómo protegerte y por qué es crucial fortalecer tus defensas digitales.

¿Qué es OAuth 2.0 y cómo se ve comprometido?

OAuth 2.0 es un protocolo de autorización que permite a aplicaciones de terceros acceder a información de usuario sin que estos compartan sus credenciales. Aunque está diseñado para ser seguro, los hackers han encontrado maneras de manipular este sistema. Los atacantes están utilizando flujos de trabajo legítimos para obtener códigos de autorización de Microsoft 365, dando acceso total a las cuentas de las víctimas.

Estrategias de los Ataques

Los investigadores de seguridad de Volexity han documentado que estos ataques comienzan con la suplantación de identidad. Los hackers se hacen pasar por funcionarios europeos y se comunican con sus objetivos a través de aplicaciones de mensajería como WhatsApp y Signal. Su objetivo es convencer a las víctimas de que compartan códigos de autorización de Microsoft o que hagan clic en enlaces maliciosos. Estos enlaces los llevan a páginas ficticias donde se solicita información sensible, sin que la víctima se dé cuenta del peligro.

Cómo Funcionan los Ataques

La mecánica del ataque comienza cuando el hacker envía un mensaje a la víctima, a menudo utilizando una cuenta del gobierno ucraniano que ha sido comprometida. Una vez que se establece un canal de comunicación, el atacante invita a la víctima a una videoconferencia relacionada con asuntos ucranianos, lo que parece inocente, pero en realidad es una trampa.

  • El Enlace Malicioso: Durante esta comunicación, se envía un enlace de phishing bajo la falsa premisa de que se necesita para unirse a la reunión.

  • La Trampa de la Autenticación: Al hacer clic en el enlace, la víctima es llevada a una página que intenta imitar el proceso de inicio de sesión de Microsoft 365. Al ingresar sus credenciales, el atacante puede acceder a la cuenta.

  • La Explotación de OAuth: A partir de este punto, el atacante usa el código de autorización obtenido para registrar dispositivos no autorizados a la cuenta de Microsoft de la víctima, lo que les permite acceder a la información de forma prolongada.

Recomendaciones para Proteger tu Cuenta

Dada la sofisticación de estos ataques, es vital adoptar medidas proactivas para proteger tu información y la de tu organización. Aquí están algunas recomendaciones clave:

Habilita la Autenticación de Dos Factores (2FA)

La autenticación de dos factores añade un nivel adicional de seguridad. Asegúrate de que está habilitada en tu cuenta de Microsoft 365. Esto puede prevenir el acceso no autorizado incluso si un hacker tiene tus credenciales.

Mantente Alerta Ante Solicitudes Sospechosas

Siempre verifica la autenticidad de los mensajes que recibes, especialmente si contienen enlaces o solicitudes de información sensible. Si algo parece extraño, desconfía y verifica con la fuente antes de proceder.

Usa un Antivirus Confiable

La mejor defensa contra este tipo de amenazas es tener un buen software antivirus. Por ello, siempre recomendamos que te descargues el antivirus gratuito desde nuestra sección de descargas de seguridad recomendadas. Este software puede detectar y bloquear potenciales amenazas antes de que se conviertan en un problema mayor.

Establece Alertas de Inicio de Sesión

Configura alertas por correo electrónico o SMS cada vez que se inicie sesión en tu cuenta. De esta manera, si un hacker intenta acceder a tu cuenta, recibirás una notificación inmediata.

Casos Concretos: Análisis de la Actividad de los Hackers

Volexity identificó dos grupos de actores maliciosos, UTA0352 y UTA0355, ambos con un origen que se presume es ruso. Estos grupos utilizaron métodos similares, pero con ligeras variaciones en su ejecución.

Grupo UTA0352

Este grupo inició sus ataques a principios de marzo de 2023, después de una campaña previa que se había visto en febrero. Utilizaron mensajes falsos de dignatarios europeos y ucranianos, engañando a sus víctimas para obtener códigos de autorización de Microsoft y acceder a cuentas críticas.

Grupo UTA0355

El grupo UTA0355 empleó tácticas análogas, pero en vez de mensajes a través de aplicaciones de mensajería, utilizaron correos electrónicos de cuentas de gobierno ucraniano comprometidas. Este ataque no solo buscó obtener credenciales, sino también registrar dispositivos en las cuentas de Microsoft Entra (anteriormente Azure Active Directory), lo que les permitió mantener acceso prolongado.

¿Cómo se Lleva a Cabo un Ataque Específico?

Definamos el flujo de un ataque específico:

  1. Iniciación del Contacto: Se inicia el contacto a través de un mensaje en Signal o WhatsApp, invitando a una ‘reunión’.

  2. Generación de la Confianza: El atacante se presenta como un funcionario de confianza.

  3. La Fase de Phishing: Se envía un enlace para ‘unirse’ a la reunión, que redirige a la víctima a una página de inicio de sesión falsa.

  4. Captura del Código: Una vez que la víctima inicia sesión, el atacante captura el código de autorización y puede usarlo durante 60 días antes de que expire.

  5. Acceso No Autorizado: Después, el atacante registra un dispositivo no autorizado y envía una solicitud para que la víctima apruebe la autenticación de dos factores, permitiéndole acceder a la cuenta mientras el usuario está engañado.

Mitos Comunes sobre la Seguridad Digital

"No soy un blanco, mis cuentas son poco valiosas"

Este es un mito peligroso. Los hackers no discriminen entre usuarios. A menudo, buscan cuentas con acceso a información sensible o con conexiones a personas influyentes. Ahora más que nunca, la conciencia sobre la seguridad es esencial.

"Los antivirus son innecesarios si tengo cuidado"

Aunque tener cuidado es crucial, los antivirus ofrecen un nivel extra de protección que no se puede subestimar. Por ello, recomendamos que te descargues el antivirus gratuito desde nuestra sección de descargas de seguridad recomendadas.

"Las contraseñas complejas son suficientes"

Aunque es importante crear contraseñas complejas, la verdadera seguridad proviene del uso de múltiples métodos de autenticación. La 2FA puede ser un gran aliado en la lucha contra el acceso no autorizado.

Estrategias de Defensa en el Futuro

A medida que los ataques se vuelven más sofisticados, las organizaciones deben implementar estrategias de defensa robustas. Aquí hay algunas formas de hacerlo:

Formaciones de Conciencia sobre Seguridad

Capacitar a los empleados sobre los riesgos y las señales de advertencia de ataques de phishing puede marcar una gran diferencia. La educación es una herramienta poderosa en la defensa cibernética.

Políticas de Acceso Estricto

Las organizaciones deben establecer políticas estrictas que limiten el acceso a información crítica. Solo aquellas personas que realmente necesitan acceso deben tenerlo.

Revisión Regular de Seguridad

La seguridad no es algo que se configura una vez y se olvida. Realiza auditorías regulares y revisa los registros de acceso para detectar cualquier actividad sospechosa.

Colaboración con Expertos

Para protegerse de estas amenazas, considera asociarte con empresas de ciberseguridad como Volexity o Microsoft, que pueden ofrecer recomendaciones y soluciones específicas.

En resumen

El uso malintencionado de OAuth 2.0 para el secuestro de cuentas de Microsoft 365 es una amenaza creciente que las organizaciones y los individuos deben tomar en serio. La conciencia, la educación y la implementación de medidas de seguridad adecuadas son esenciales para protegerse contra tales ataques. Siempre revisa los enlaces que recibes, habilita la autenticación de dos factores y, para mayor tranquilidad, asegúrate de tener un antivirus eficaz que refuerce tu seguridad. Por ello, te recomendamos que te descargues el antivirus gratuito desde nuestra sección de descargas de seguridad recomendadas y mantener tus dispositivos y tu información a salvo de estas amenazas cibernéticas.

Fuente: https://www.bleepingcomputer.com/news/security/hackers-abuse-oauth-20-workflows-to-hijack-microsoft-365-accounts/

editor's pick

latest video

news via inbox

Nulla turp dis cursus. Integer liberos  euismod pretium faucibua

Leave A Comment

you might also like