**Cibercriminales combinan phishing de dispositivos y vishing para vulnerar cuentas de Microsoft Entra**
—
### 1. Introducción
En las últimas semanas, se ha detectado una sofisticada campaña dirigida contra organizaciones de tecnología, manufactura y finanzas, en la que los atacantes combinan técnicas de phishing de dispositivos con vishing (phishing por voz). El objetivo: explotar el flujo de Autorización de Dispositivos de OAuth 2.0 y comprometer cuentas de Microsoft Entra (anteriormente Azure Active Directory). Este ataque, que aprovecha tanto vectores digitales como ingeniería social avanzada, pone en jaque la seguridad de las infraestructuras empresariales y demanda una respuesta técnica inmediata.
—
### 2. Contexto del Incidente
La campaña identificada tiene como diana organizaciones críticas en sectores altamente regulados y con alto valor en la cadena de suministro global. Según diferentes informes, los actores de amenazas —posiblemente con motivaciones financieras y conocimientos avanzados en técnicas de evasión— han orquestado ataques coordinados que involucran el envío de enlaces de autorización de dispositivos (device code phishing) y la posterior interacción telefónica (vishing) con los usuarios objetivo, para guiarles en el proceso de autenticación fraudulenta.
Este tipo de ataque se alinea con tendencias observadas en 2024, donde la convergencia de ingeniería social multicanal y explotación de flujos legítimos de autenticación en la nube se utilizan para burlar controles tradicionales como MFA y aumentar la tasa de éxito de compromiso de cuentas.
—
### 3. Detalles Técnicos del Ataque
**Vulnerabilidad explotada:**
El vector principal es el abuso del OAuth 2.0 Device Authorization Grant (RFC 8628), un mecanismo diseñado para habilitar el inicio de sesión en dispositivos con capacidades de entrada limitadas. Los atacantes generan códigos de dispositivo válidos y URL de autorización legítimas asociadas a aplicaciones maliciosas previamente registradas en Microsoft Entra.
**Tácticas, Técnicas y Procedimientos (TTP):**
– **Phishing de dispositivos** ([MITRE ATT&CK T1556.003](https://attack.mitre.org/techniques/T1556/003/)): El usuario recibe un correo o mensaje instantáneo con una URL legítima de Microsoft (ejemplo: https://microsoft.com/devicelogin) y un código de dispositivo.
– **Vishing** ([MITRE ATT&CK T1598.002](https://attack.mitre.org/techniques/T1598/002/)): Posteriormente, el atacante contacta por teléfono al usuario, haciéndose pasar por soporte técnico o personal de TI, y le instruye para introducir el código en la página oficial.
– **Abuso de OAuth Token** ([MITRE ATT&CK T1528](https://attack.mitre.org/techniques/T1528/)): Una vez autenticado el usuario, el atacante obtiene un token OAuth válido que permite acceso persistente a los servicios de Microsoft 365, SharePoint y otros recursos asociados a Microsoft Entra.
**Indicadores de Compromiso (IoC):**
– Registro de aplicaciones sospechosas en Azure/Entra.
– Solicitudes de autorización de dispositivo desde ubicaciones geográficas inusuales o infraestructuras VPN/Tor.
– Incremento de llamadas de soporte no solicitadas o tickets generados por el propio usuario.
**Herramientas y frameworks:**
Se han detectado scripts automatizados y el uso de frameworks de automatización como Selenium y Puppeteer para gestionar el flujo de autorización, aunque no se han observado aún módulos específicos en Metasploit o Cobalt Strike para esta táctica.
—
### 4. Impacto y Riesgos
Esta técnica permite a los atacantes eludir mecanismos de autenticación multifactor (MFA) y obtener acceso persistente sin necesidad de credenciales tradicionales. El uso de tokens OAuth facilita el movimiento lateral y el acceso a datos sensibles en la nube, con potencial para el robo de propiedad intelectual, datos financieros y credenciales adicionales.
Según estimaciones de consultoras de ciberseguridad, hasta un 12% de las organizaciones con Microsoft Entra expuestas a estos vectores han reportado intentos de explotación, con pérdidas económicas que pueden superar los 400.000€ por incidente, incluyendo coste de remediación, sanciones regulatorias (por ejemplo, GDPR) y daños reputacionales.
—
### 5. Medidas de Mitigación y Recomendaciones
– **Revisión de aplicaciones registradas:** Auditar periódicamente las aplicaciones con permisos en el entorno Entra/Azure AD.
– **Políticas de consentimiento restringido:** Limitar el consentimiento del usuario para aplicaciones no administradas.
– **Alertas de acceso inusual:** Configurar alertas para flujos de autorización de dispositivos desde ubicaciones o aplicaciones sospechosas.
– **Formación en vishing:** Sensibilizar a los empleados sobre llamadas fraudulentas y los riesgos de compartir códigos de dispositivo.
– **Política de Zero Trust:** Reforzar la autenticación continua y la segmentación de privilegios.
—
### 6. Opinión de Expertos
Analistas de SOC y consultores en ciberseguridad coinciden en que este vector representa una evolución preocupante del phishing tradicional, fusionando lo mejor de la ingeniería social y la explotación de flujos OAuth legítimos. Según Marta López, CISO en una multinacional del sector financiero, “la clave está en combinar control de aplicaciones, monitorización de tokens y una formación continua que enfatice la importancia de no seguir instrucciones telefónicas no verificadas”.
—
### 7. Implicaciones para Empresas y Usuarios
Las organizaciones deben considerar estos ataques como una amenaza real y presente, especialmente si operan en sectores críticos o bajo marcos regulatorios estrictos como NIS2 o GDPR. El acceso persistente a través de OAuth puede pasar inadvertido durante semanas, permitiendo exfiltración de datos y escalada de privilegios.
Para los usuarios, la consigna es clara: nunca introducir códigos de autorización en portales legítimos si han sido proporcionados por canales no oficiales o bajo presión telefónica inesperada.
—
### 8. Conclusiones
La explotación combinada del flujo de autorización de dispositivos OAuth 2.0 y el vishing representa una amenaza avanzada y en aumento para las cuentas de Microsoft Entra. Solo la combinación de controles técnicos, monitorización proactiva y formación de empleados puede mitigar este riesgo en entornos empresariales modernos.
(Fuente: www.bleepingcomputer.com)