**Microsoft refuerza la seguridad de Microsoft 365: se bloquea el acceso a SharePoint y OneDrive mediante protocolos de autenticación heredados**
—
### 1. Introducción
Microsoft ha anunciado cambios significativos en la configuración por defecto de seguridad para todos los tenants de Microsoft 365, con el propósito de bloquear el acceso a SharePoint, OneDrive y archivos de Office utilizando protocolos de autenticación heredados. Esta medida busca mitigar vectores de ataque ampliamente explotados por actores maliciosos, reforzando la postura defensiva de las organizaciones frente a amenazas modernas. La actualización responde tanto a la evolución de las amenazas como a la necesidad de alinearse con marcos regulatorios y mejores prácticas del sector.
—
### 2. Contexto del Incidente o Vulnerabilidad
Durante años, los protocolos de autenticación heredados como IMAP, POP3, SMTP, MAPI, RPC o Exchange ActiveSync han sido mantenidos por motivos de compatibilidad. Sin embargo, su uso ha caído en desuso a favor de métodos modernos basados en OAuth 2.0 y protocolos de autenticación multifactor (MFA). Los protocolos legacy carecen de soporte para MFA y presentan vulnerabilidades inherentes que permiten ataques como password spraying, credential stuffing y brute force.
Según datos de Microsoft Threat Intelligence, más del 99% de los ataques de password spraying a servicios en la nube aprovechan estos protocolos antiguos. El propio equipo de seguridad de Redmond ha observado un descenso significativo en los incidentes cuando los protocolos heredados son deshabilitados por defecto.
—
### 3. Detalles Técnicos
**Protocolos afectados:**
El cambio anunciado por Microsoft afectará a cualquier intento de conexión a SharePoint Online, OneDrive for Business y archivos de Office a través de autenticación básica de protocolos como:
– IMAP4
– POP3
– SMTP AUTH
– MAPI over HTTP
– Remote PowerShell
– Exchange ActiveSync
**Versiones y alcance:**
La actualización se aplica a todos los tenants de Microsoft 365, incluidos los nuevos y los existentes, independientemente del tamaño o sector.
**Vectores de ataque:**
Entre las técnicas empleadas por actores maliciosos destacan:
– **T1110 (Brute Force)**: Ataques de fuerza bruta, facilitados por la falta de soporte para MFA y controles de acceso adaptativos.
– **T1078 (Valid Accounts)**: Uso de cuentas válidas comprometidas para acceder a información confidencial.
– **T1190 (Exploit Public-Facing Application)**: Explotación de servicios expuestos que permiten la autenticación legacy.
**Indicadores de compromiso (IoC):**
– Logs de acceso desde protocolos antiguos a recursos de SharePoint, OneDrive y Office.
– Actividades anómalas desde ubicaciones geográficas inusuales utilizando autenticación básica.
**Herramientas y frameworks utilizados en ataques:**
– Scripts personalizados de password spraying.
– Automatisación con herramientas como Hydra o Metasploit para credential stuffing.
—
### 4. Impacto y Riesgos
La permanencia de autenticación legacy supone una puerta abierta para campañas de ataque automatizadas. Entre los principales riesgos destacan:
– **Compromiso de credenciales**: Alta probabilidad de exfiltración de datos sensibles (GDPR Art. 32).
– **Acceso persistente**: Los atacantes pueden mantener persistencia y movimientos laterales debido a la baja visibilidad de estos protocolos en SIEMs tradicionales.
– **Incremento en costes**: Según datos de IBM, el coste medio de una brecha de datos en 2023 fue de 4,45 millones de dólares, con incidentes originados en autenticación legacy representando un 18% de los casos en entornos cloud.
—
### 5. Medidas de Mitigación y Recomendaciones
Microsoft recomienda a los administradores de sistemas y equipos de seguridad:
– **Deshabilitar manualmente los protocolos legacy** si aún no se ha realizado, antes de la aplicación automática del cambio.
– **Actualizar aplicaciones y scripts** que dependan de autenticación básica a métodos modernos como OAuth 2.0 o MSAL (Microsoft Authentication Library).
– **Reforzar el uso de MFA** en todos los accesos a recursos de Microsoft 365.
– **Monitorizar logs y alertas** para detectar intentos de acceso mediante protocolos obsoletos.
– **Comunicar internamente** el cambio a los usuarios y departamentos afectados para evitar interrupciones en flujos de trabajo.
—
### 6. Opinión de Expertos
Analistas de ciberseguridad y responsables de SOCs coinciden en que la decisión de Microsoft es un paso necesario para reducir la superficie de ataque en entornos empresariales. Según Marta Sánchez, CISO de una multinacional española, “la eliminación de autenticación básica es imprescindible para cumplir con las exigencias de NIS2 y GDPR en materia de protección de datos y gestión de incidentes”. Por su parte, expertos en Red Teaming subrayan que “los protocolos legacy son uno de los vectores favoritos para el acceso inicial en campañas de phishing avanzado”.
—
### 7. Implicaciones para Empresas y Usuarios
Las organizaciones deberán revisar y actualizar sus integraciones y procesos internos. Es probable que aplicaciones antiguas o scripts de automatización dejen de funcionar si no se adaptan. La actualización puede impactar a usuarios que aún utilicen clientes de correo antiguos o aplicaciones de terceros no compatibles con autenticación moderna.
Para los equipos de cumplimiento normativo, la medida contribuye a robustecer la protección de datos personales y a demostrar diligencia en la gestión de riesgos, aspectos clave en las auditorías de GDPR y NIS2.
—
### 8. Conclusiones
La actualización de los defaults de seguridad en Microsoft 365 marca un hito en la estrategia proactiva de reducción de riesgos en la nube. El bloqueo de los protocolos de autenticación heredados no solo refuerza la seguridad de los datos corporativos y personales, sino que también facilita el cumplimiento regulatorio y la resiliencia frente a amenazas emergentes. Las empresas que todavía dependan de autenticación básica deben priorizar su migración a métodos modernos para evitar interrupciones y reducir su exposición.
(Fuente: www.bleepingcomputer.com)