Campaña de phishing dirigida a Microsoft 365 compromete más de 340 organizaciones internacionales

Introducción

En las últimas semanas, una nueva campaña de phishing centrada en la obtención de códigos de dispositivo ha irrumpido en el panorama de amenazas, afectando a más de 340 organizaciones en Estados Unidos, Canadá, Australia, Nueva Zelanda y Alemania. Según los últimos informes publicados por Huntress, el ataque se está extendiendo de forma acelerada desde su detección inicial el 19 de febrero de 2026, poniendo en jaque la seguridad de identidades corporativas asociadas a Microsoft 365. Este escenario subraya la sofisticación creciente de los actores de amenazas, que explotan vectores menos convencionales para eludir mecanismos tradicionales de defensa.

Contexto del Incidente

La campaña detectada se caracteriza por su alcance internacional y por el uso de técnicas de ingeniería social dirigidas a capturar credenciales y tokens de acceso a través de flujos de autenticación de dispositivo. Si bien el phishing en entorno Microsoft 365 no es novedoso, la utilización específica del flujo de código de dispositivo (device code flow) representa un giro innovador en las tácticas habituales, permitiendo a los atacantes sortear, en muchos casos, los controles de autenticación multifactor (MFA) implementados por las organizaciones.

Los objetivos, más de 340 entidades del sector público y privado, incluyen desde administraciones locales hasta proveedores de servicios críticos, destacando la intencionalidad de comprometer cuentas privilegiadas y expandirse lateralmente dentro de los entornos corporativos.

Detalles Técnicos

La principal vulnerabilidad explotada en esta campaña reside en el flujo OAuth 2.0 Device Authorization Grant, ampliamente utilizado por Microsoft 365 para facilitar la autenticación en dispositivos sin teclado o pantalla completa. Los atacantes envían correos electrónicos de phishing que simulan notificaciones legítimas de Microsoft, instando a los usuarios a visitar el portal de autenticación (por ejemplo, https://microsoft.com/devicelogin) e introducir un código único que supuestamente legitima el acceso de un nuevo dispositivo.

Una vez introducido el código, el atacante obtiene acceso a la cuenta de la víctima, pudiendo persistir con tokens OAuth válidos. Este vector aprovecha la falta de visibilidad y control sobre el uso de device codes en muchos entornos corporativos.

– CVE relacionado: Aunque no se ha asignado un CVE específico a este flujo, se asocia a técnicas documentadas bajo MITRE ATT&CK T1566 (Phishing) y T1078 (Valid Accounts).
– TTPs observadas:
– Ingeniería social dirigida al personal con privilegios elevados.
– Uso de dominios y servidores de correo comprometidos para aumentar la verosimilitud de los mensajes.
– Automatización de la recolección de códigos a través de scripts personalizados y frameworks como Evilginx2.
– IoC conocidos:
– URLs acortadas y dominios typosquatting imitando servicios de Microsoft.
– Tokens OAuth válidos detectados en logs de acceso no autorizados.
– Actividad inusual en endpoints de Microsoft Graph API.

Impacto y Riesgos

El impacto potencial de esta campaña es elevado, dado que comprometer una sola cuenta privilegiada en Microsoft 365 puede derivar en el acceso a información sensible, manipulación de buzones, movimiento lateral y despliegue de cargas secundarias como ransomware o herramientas de administración remota (por ejemplo, Cobalt Strike).

Según datos de Huntress, el 63% de los incidentes analizados resultaron en la escalada de privilegios y el acceso a recursos compartidos dentro del entorno Microsoft 365. En términos económicos, el coste promedio de remediación y contención se estima en torno a 410.000 euros por incidente, especialmente en organizaciones con cumplimiento bajo marcos regulatorios como GDPR o NIS2.

Medidas de Mitigación y Recomendaciones

Para mitigar esta amenaza, se recomienda:

– Revisar y restringir el uso del flujo de device code en Azure AD y Microsoft 365.
– Aplicar políticas de Conditional Access para limitar los permisos de autenticación de dispositivos.
– Monitorizar continuamente logs de autenticación y uso de tokens OAuth, con especial atención a patrones atípicos.
– Realizar simulaciones de phishing específicas sobre device flows para concienciar a los usuarios.
– Implementar soluciones de detección y respuesta (EDR/XDR) que incluyan reglas para la identificación de IoC relacionados.
– Revisar y revocar permisos de aplicaciones de terceros que utilicen device code flow sin justificación.

Opinión de Expertos

Especialistas en ciberseguridad como Anton Ivanov, jefe de investigación en Huntress, advierten: “Este tipo de ataque pone de manifiesto la necesidad de un enfoque Zero Trust en la gestión de identidades y accesos. El flujo de device code, poco monitorizado, está siendo aprovechado por actores avanzados para eludir controles tradicionales.” Asimismo, desde el Centro de Ciberseguridad Industrial (CCI) se recalca que “la detección temprana y la educación del usuario son claves para contener la expansión de este vector emergente”.

Implicaciones para Empresas y Usuarios

Las organizaciones deben considerar este incidente como un llamado de atención para revisar en profundidad la gestión de autenticación y acceso en sus infraestructuras cloud. La dependencia de Microsoft 365 como hub de productividad y colaboración magnifica los riesgos asociados a la pérdida de control de identidades. Los usuarios, por su parte, deben ser entrenados específicamente en la identificación de intentos de phishing que exploten flujos de autenticación menos convencionales.

Conclusiones

La campaña de phishing basada en device code contra Microsoft 365 es un ejemplo paradigmático de la evolución constante de las tácticas de ataque y la necesidad de adaptar las estrategias de defensa. La convergencia de ingeniería social, explotación de flujos OAuth y automatización del ataque exige a los responsables de ciberseguridad una vigilancia proactiva y la actualización continua de políticas y controles técnicos.

(Fuente: feeds.feedburner.com)