Campaña de phishing en Microsoft 365 explota el login legítimo con cebos de colaboración
Introducción
A finales de junio y principios de julio de 2026, investigadores de ZeroBEC han detectado una sofisticada campaña de phishing dirigida a usuarios de Microsoft 365. A diferencia de los ataques tradicionales basados en la clonación de páginas de inicio de sesión, los actores de amenazas han empleado ingeniosas técnicas de ingeniería social que aprovechan flujos de autenticación legítimos, concretamente el proceso de login por código de dispositivo, para comprometer cuentas corporativas de alto valor. Esta campaña representa una evolución en los métodos de phishing, dificultando su detección tanto para usuarios como para soluciones de defensa automatizadas.
Contexto del Incidente o Vulnerabilidad
La campaña identificada se dirige principalmente a organizaciones que utilizan Microsoft 365 como plataforma de productividad y colaboración. El vector inicial consiste en correos electrónicos con temática de colaboración, simulando notificaciones o invitaciones a proyectos compartidos, solicitudes de acceso a documentos en OneDrive o Teams, y peticiones aparentes de colegas o partners de confianza.
El objetivo es inducir a la víctima a iniciar un proceso de autenticación legítimo a través de la funcionalidad «device code» de Microsoft, una opción que permite autorizar dispositivos externos mediante un código temporal. Este flujo de login se utiliza habitualmente para integrar aplicaciones de terceros o dispositivos con servicios de Microsoft 365, lo que lo convierte en una vía atractiva para los atacantes al evitar la detección basada en la suplantación de páginas de login.
Detalles Técnicos
La técnica empleada en esta campaña se basa en el uso del endpoint de autenticación «device login» de Microsoft (https://microsoft.com/devicelogin). Tras recibir el correo, el usuario es dirigido a esta URL legítima, donde se le solicita introducir un código único proporcionado en el propio mensaje de phishing. Este código, generado previamente por los atacantes mediante la API de Microsoft OAuth 2.0, está asociado a una aplicación maliciosa registrada en Azure AD bajo control de los actores.
Una vez introducido el código, el usuario autoriza sin saberlo el acceso de la aplicación maliciosa a su cuenta, permitiendo a los atacantes obtener tokens de acceso y refresh tokens con permisos según el scope solicitado (generalmente con privilegios de lectura y escritura sobre correo, archivos y contactos). Este proceso no requiere la introducción de contraseñas ni la interceptación directa de credenciales, dificultando la detección por parte de soluciones tradicionales de monitorización.
Desde la perspectiva de MITRE ATT&CK, este ataque se alinea con la técnica T1556.003 (Modificación de Proveedores de Autenticación: OAuth), y emplea elementos de T1192 (Phishing Spear) y T1078 (Obtención de Credenciales Válidas). Los Indicadores de Compromiso (IoC) incluyen direcciones IP asociadas a la creación de aplicaciones maliciosas en Azure, códigos de dispositivo válidos y patrones inusuales de consentimiento de aplicaciones.
Impacto y Riesgos
El impacto potencial de esta campaña es elevado, dada la popularidad de Microsoft 365 en entornos empresariales y la capacidad de los atacantes para acceder a información sensible, manipular correos electrónicos, filtrar datos confidenciales y desplegar ataques posteriores (movimiento lateral, Business Email Compromise, etc.). Según estimaciones de ZeroBEC, la campaña ha afectado a un 3% de los objetivos a los que se ha dirigido, con un ratio de acceso exitoso superior al 70% tras el consentimiento del usuario.
Asimismo, el uso de flujos legítimos complica la atribución y respuesta, puesto que las actividades maliciosas aparecen como acciones autorizadas por el propio usuario. Según datos recientes de Microsoft, los incidentes que involucran aplicaciones OAuth maliciosas han aumentado un 40% en los últimos 12 meses, suponiendo un vector de riesgo creciente para la industria.
Medidas de Mitigación y Recomendaciones
Para mitigar este tipo de ataques, se recomienda a los equipos de seguridad:
– Restringir el consentimiento de aplicaciones de terceros en Azure AD, limitando los permisos a aplicaciones verificadas y gestionadas.
– Implementar políticas de acceso condicional que requieran MFA (Multi-Factor Authentication) y validen el contexto del dispositivo.
– Monitorizar logs de consentimiento de aplicaciones y detectar patrones anómalos de autorización.
– Formar a los usuarios sobre los riesgos de autorizar aplicaciones y la importancia de validar el origen de las solicitudes de colaboración.
– Utilizar soluciones EDR y SIEM capaces de correlacionar eventos de OAuth y detectar la creación de aplicaciones sospechosas.
– Revisar periódicamente las aplicaciones autorizadas y revocar accesos innecesarios.
Opinión de Expertos
Expertos como Javier Gutiérrez, CISO en una multinacional tecnológica, advierten: “El abuso de flujos OAuth legítimos representa la nueva frontera del phishing. No basta con proteger contraseñas; es necesario vigilar el ciclo de vida completo de las aplicaciones y tokens autorizados”.
Desde ZeroBEC, se destaca la importancia de la visibilidad y el análisis continuo de los consentimientos concedidos en los entornos cloud, así como la integración de alertas específicas para flujos device code en los SOC.
Implicaciones para Empresas y Usuarios
Las organizaciones deben entender que la seguridad en la nube no se limita a la autenticación tradicional. La gestión de permisos delegados, el control de aplicaciones y la capacitación avanzada de usuarios son pilares esenciales para reducir la superficie de ataque. La regulación europea (NIS2, GDPR) obliga a denunciar brechas de datos y a garantizar la protección frente a técnicas de ingeniería social cada vez más avanzadas.
Conclusiones
La campaña de phishing identificada en Microsoft 365 mediante el abuso del login por código de dispositivo ilustra la evolución de las amenazas en entornos cloud. La combinación de ingeniería social y abuso de flujos legítimos exige una respuesta holística, centrada en la gestión de privilegios, monitorización continua y concienciación de los usuarios. El sector debe anticipar y adaptar sus estrategias defensivas frente a vectores que ya no dependen de la suplantación tradicional.
(Fuente: feeds.feedburner.com)
