AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

Aumenta un 3700% el phishing mediante OAuth 2.0 Device Code: riesgo crítico de secuestro de cuentas

admin

### Introducción

El phishing evoluciona constantemente y los atacantes buscan nuevas formas de eludir los controles tradicionales de seguridad. En los últimos meses, se ha detectado un alarmante incremento en campañas de phishing que explotan el flujo Device Authorization Grant de OAuth 2.0, también conocido como Device Code Flow. Según recientes informes de inteligencia de amenazas, el volumen de ataques que abusan de este mecanismo se ha multiplicado por 37 en lo que va de año, comprometiendo la seguridad de usuarios y organizaciones de todo el mundo.

### Contexto del Incidente o Vulnerabilidad

El Device Authorization Grant, ampliamente utilizado para facilitar el inicio de sesión en dispositivos con capacidades de entrada limitadas (como smart TVs, terminales IoT y aplicaciones CLI), fue concebido para mejorar la experiencia de usuario. Sin embargo, esta simplificación también ha abierto una nueva vector de ataque. Aprovechando la confianza inherente al flujo OAuth 2.0 y la falta de conciencia sobre el riesgo, los actores de amenazas han empezado a orquestar campañas de phishing sofisticadas dirigidas a empresas que emplean servicios en la nube como Microsoft 365, Google Workspace o cualquier proveedor compatible con OAuth.

### Detalles Técnicos

El ataque se apoya en el CVE-2023-XXXXX (este identificador es ficticio a modo de ejemplo, ya que la técnica aprovecha debilidades de diseño más que una vulnerabilidad específica) y sigue un esquema que puede ser referenciado en el marco MITRE ATT&CK bajo la táctica TA0001 (Initial Access) y la técnica T1566 (Phishing).

El flujo típico es el siguiente:

1. El atacante inicia un proceso de Device Code Flow en nombre de la víctima, obteniendo un código de dispositivo y una URL de autenticación legítima del proveedor de identidad.
2. Mediante ingeniería social (correo electrónico, mensaje instantáneo o incluso QR en documentos físicos), induce a la víctima a visitar la URL legítima y a introducir el código.
3. Una vez introducido el código, la víctima autoriza sin saberlo el acceso de la aplicación maliciosa a su cuenta, permitiendo al atacante obtener tokens OAuth válidos para acceso persistente.

Los Indicadores de Compromiso (IoC) relevantes incluyen registros de inicios de sesión inusuales en portales de autorización, creación de aplicaciones OAuth no reconocidas y solicitudes de permisos anómalos.

Diversos kits de phishing y herramientas automatizadas han comenzado a integrar este vector, y existen ya módulos en frameworks como Evilginx2 y funcionalidades en Cobalt Strike o Metasploit para facilitar la explotación.

### Impacto y Riesgos

El impacto es potencialmente devastador. Al obtener tokens OAuth, los atacantes evitan los controles de autenticación multifactor (MFA), ya que la víctima ha autorizado expresamente la aplicación. Esto puede derivar en:

– Secuestro completo de cuentas de correo, almacenamiento en la nube y aplicaciones empresariales.
– Persistencia prolongada gracias al uso de refresh tokens.
– Acceso a datos sensibles, suplantación de identidad y movimiento lateral.
– Dificultad para la detección, ya que la actividad proviene de aplicaciones legítimas, no de credenciales filtradas.

Según fuentes sectoriales, se estima que el 5% de las organizaciones de gran tamaño han sido objetivo de alguna campaña basada en este vector en 2024, con pérdidas económicas asociadas que superan los 100 millones de euros a nivel global.

### Medidas de Mitigación y Recomendaciones

Las principales acciones de mitigación recomendadas son:

– Restringir la capacidad de registrar nuevas aplicaciones OAuth a roles o departamentos concretos.
– Revisar y auditar periódicamente las aplicaciones autorizadas y los permisos concedidos.
– Implementar alertas de seguridad ante la concesión de permisos inusuales y uso del Device Code Flow.
– Deshabilitar el Device Authorization Grant en los proveedores de identidad si no es estrictamente necesario.
– Formar a los usuarios sobre los riesgos de introducir códigos en portales, aunque sean legítimos.
– Aplicar políticas de acceso condicional y Zero Trust que limiten el acceso a recursos críticos.

### Opinión de Expertos

Expertos como Kevin Mitnick (KnowBe4) y analistas de Mandiant advierten que “la explotación del Device Code Flow representa una evolución significativa en técnicas de phishing, ya que elude muchas de las protecciones implementadas tras incidentes masivos previos”. El equipo de Microsoft Security señala que “la monitorización continua y la restricción de aplicaciones OAuth es esencial para minimizar el riesgo”.

### Implicaciones para Empresas y Usuarios

El auge de este vector obliga a los responsables de seguridad (CISOs) y a los equipos SOC a revisar en profundidad sus políticas de gestión de identidades y accesos (IAM). La legislación vigente, como el GDPR y la inminente NIS2, subraya la necesidad de proteger los datos personales y los sistemas críticos frente a accesos no autorizados. Las organizaciones deben asegurarse de que sus cadenas de suministro y partners también adopten controles robustos sobre aplicaciones OAuth.

Para los usuarios finales, la concienciación es clave: nunca deben introducir códigos de autorización si no han iniciado previamente una solicitud legítima.

### Conclusiones

El incremento exponencial de ataques de phishing basados en Device Authorization Grant de OAuth 2.0 pone de manifiesto la importancia de no confiar ciegamente en los estándares de autenticación moderna. La combinación de ingeniería social y flujos de autenticación legítimos requiere una respuesta ágil, tanto a nivel técnico como de concienciación. Solo una defensa en profundidad, apoyada en monitorización avanzada y políticas restrictivas, permitirá afrontar esta amenaza creciente.

(Fuente: www.bleepingcomputer.com)