AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Consejos

### Grupos vinculados a Rusia explotan las contraseñas específicas de aplicaciones de Google para comprometer correos electrónicos

admin

#### Introducción

En las últimas semanas, grupos de amenazas avanzadas con nexos sospechosos con Rusia han sido detectados explotando una función poco conocida de Google: las contraseñas específicas de aplicaciones (app passwords). Esta táctica, que se integra dentro de sofisticadas campañas de ingeniería social, busca eludir mecanismos convencionales de autenticación y acceder de manera no autorizada a cuentas de correo electrónico. La campaña ha sido revelada conjuntamente por el Google Threat Intelligence Group (GTIG) y Citizen Lab, quienes han detallado el modus operandi y el alcance de esta nueva amenaza dirigida.

#### Contexto del Incidente

El uso malicioso de las app passwords no es una amenaza inédita, pero sí es la primera vez que se observa a actores estatales rusos empleando esta técnica de manera sistémica y coordinada. Las investigaciones apuntan a actores como APT28 (también conocido como Fancy Bear, vinculado a la inteligencia militar rusa GRU) y otros grupos relacionados con operaciones de ciberespionaje en Europa y América del Norte. El objetivo primario son usuarios con altos privilegios, periodistas, funcionarios gubernamentales y personal de ONGs vinculadas a la seguridad europea y la política internacional.

Las campañas identificadas no son masivas, sino altamente dirigidas (spear phishing) y orientadas a la obtención de persistencia en cuentas protegidas por autenticación multifactor (MFA).

#### Detalles Técnicos

**CVE y Vectores de Ataque**
Hasta la fecha, no se ha asignado un CVE específico, ya que la técnica explota una funcionalidad legítima de Google, no una vulnerabilidad de software. El vector principal es la explotación de la opción de app passwords, que permite crear contraseñas de un solo uso para aplicaciones que no soportan MFA, como clientes IMAP o SMTP antiguos.

**Tácticas, Técnicas y Procedimientos (TTP) – MITRE ATT&CK**
– **T1566.001 (Phishing: Spearphishing Attachment/Link):** Los atacantes envían correos electrónicos personalizados, a menudo simulando comunicaciones internas o solicitudes de soporte técnico.
– **T1078 (Valid Accounts):** Tras obtener credenciales, solicitan a la víctima que genere una app password bajo pretextos técnicos.
– **T1556 (Modify Authentication Process):** Aprovechan la app password para eludir MFA y acceder a los servicios de correo.
– **T1110 (Brute Force):** En algunos casos, intentan el acceso masivo con combinaciones de credenciales filtradas.

**Indicadores de Compromiso (IoC)**
– Solicitudes inusuales de generación de app passwords.
– Accesos IMAP/SMTP desde direcciones IP asociadas a infraestructuras rusas o a proveedores de VPN anónimos.
– Cambios repentinos en la configuración de seguridad de la cuenta de Google.

**Exploits y Herramientas Usadas**
No se ha detectado la utilización de frameworks automatizados como Metasploit o Cobalt Strike en la fase inicial, aunque sí se han observado scripts personalizados para la automatización de login y extracción de datos una vez obtenida la app password.

#### Impacto y Riesgos

El impacto potencial es elevado, especialmente para organizaciones sujetas a normativas estrictas como el GDPR o la directiva NIS2. Al eludir el segundo factor de autenticación, los actores pueden acceder a correos confidenciales, exfiltrar información sensible y, en algunos casos, escalar privilegios dentro del entorno corporativo. Google estima que menos del 0,1% de sus cuentas han sido objetivo de este ataque, pero el porcentaje asciende al 2-3% en sectores estratégicos (gobierno, defensa, medios de comunicación).

Las pérdidas económicas asociadas a filtraciones de correo electrónico pueden superar los 500.000 euros por incidente en medianas y grandes empresas europeas, según datos de ENISA.

#### Medidas de Mitigación y Recomendaciones

– **Deshabilitación de App Passwords:** Google recomienda desactivar la función salvo en casos de estricta necesidad y migrar a aplicaciones compatibles con OAuth 2.0.
– **Auditoría de Seguridad:** Revisar periódicamente los logs de acceso y los tokens generados en la consola de administración de Google Workspace.
– **Formación de Usuarios:** Instruir a los empleados sobre los riesgos y las señales de spear phishing orientado a la obtención de app passwords.
– **Políticas de Zero Trust:** Implementar controles de acceso condicional y segmentación de red.
– **Detección Proactiva:** Utilizar reglas SIEM para identificar la creación de app passwords y accesos IMAP/SMTP sospechosos.

#### Opinión de Expertos

Especialistas de Citizen Lab advierten que “la tolerancia a aplicaciones heredadas está abriendo nuevos vectores de ataque que los sistemas de MFA clásicos no cubren”. Por su parte, analistas de GTIG señalan que “la obsolescencia de determinados clientes de correo incrementa el riesgo de bypass de autenticación”.

Desde el punto de vista legal, los incidentes que deriven en exfiltración de datos personales pueden dar lugar a sanciones bajo el GDPR, especialmente si se demuestra negligencia en la configuración de mecanismos de autenticación.

#### Implicaciones para Empresas y Usuarios

Este incidente refuerza la necesidad de revisar las políticas de acceso a sistemas cloud y de correo corporativo. Las organizaciones deben evaluar el uso de aplicaciones legacy y priorizar la migración a soluciones modernas compatibles con autenticación robusta. Para los usuarios, es fundamental desconfiar de solicitudes inusuales y reportar cualquier incidente.

En el marco de la directiva NIS2, es probable que la explotación de app passwords pase a considerarse un riesgo crítico para la resiliencia digital europea, lo que podría implicar nuevas obligaciones de reporte y mitigación para los operadores de servicios esenciales.

#### Conclusiones

La explotación de las contraseñas específicas de aplicaciones de Google por actores vinculados a Rusia evidencia la evolución de las tácticas de ingeniería social y la necesidad de revisar continuamente las configuraciones de seguridad en entornos cloud. Las empresas deben adoptar una postura de defensa en profundidad y anticipar posibles vectores de ataque derivados de funcionalidades legítimas pero obsoletas.

(Fuente: feeds.feedburner.com)