Hackers rusos sortean la autenticación multifactor en Gmail mediante contraseñas de aplicaciones y suplantación del Departamento de Estado de EE. UU.

Introducción

En las últimas semanas, se ha detectado una campaña de ciberataques dirigida principalmente contra cuentas de Gmail pertenecientes a funcionarios gubernamentales, empresas tecnológicas y entidades críticas en Occidente. Un grupo de hackers rusos, vinculado a la amenaza persistente avanzada (APT) conocida como APT29 o Cozy Bear, ha logrado evadir los mecanismos de autenticación multifactor (MFA) mediante una combinación sofisticada de ingeniería social y abuso de contraseñas de aplicaciones. Este incidente pone en evidencia las limitaciones de ciertos controles de seguridad y la necesidad de reforzar los procedimientos de protección en entornos corporativos y gubernamentales.

Contexto del Incidente

Según fuentes de inteligencia y reportes de seguridad, los atacantes han focalizado sus esfuerzos en el robo de credenciales de acceso a cuentas de Gmail protegidas con MFA. Para ello, emplean campañas de spear phishing altamente personalizadas que suplantan la identidad de funcionarios del Departamento de Estado de EE. UU. El objetivo es manipular a las víctimas para que, de forma inadvertida, generen una contraseña de aplicación (app-specific password), un mecanismo diseñado originalmente para permitir el acceso de aplicaciones externas a la cuenta de Google sin requerir MFA.

Este tipo de ataque se ha dirigido tanto a usuarios individuales como a organizaciones que gestionan información sensible, lo que incrementa significativamente el riesgo de espionaje, robo de información y ataques posteriores de movimiento lateral.

Detalles Técnicos

La técnica empleada por los atacantes se basa en los siguientes vectores y tácticas:

**CVE y vectores de ataque**
Aunque no se ha identificado un CVE específico, el vector principal reside en la explotación de la funcionalidad legítima de las contraseñas de aplicaciones de Google. Esta función está disponible para cuentas con MFA activada y permite generar credenciales de un solo uso para aplicaciones de correo electrónico o clientes IMAP, que no soportan MFA.

**TTPs según MITRE ATT&CK**
– **T1566 (Phishing):** Los atacantes envían correos electrónicos cuidadosamente elaborados, suplantando a altos cargos del Departamento de Estado estadounidense, para inducir a la víctima a revelar información confidencial o realizar acciones específicas.
– **T1078 (Valid Accounts):** Tras obtener la contraseña de aplicación, usan métodos legítimos de acceso para evadir mecanismos de detección.
– **T1110 (Brute Force):** En algunos casos, combinan la obtención de credenciales con ataques de fuerza bruta para validar accesos.
– **T1556 (Modify Authentication Process):** Manipulación del proceso de autenticación para añadir o utilizar contraseñas de aplicación.

**Indicadores de compromiso (IoC)**
– Direcciones IP asociadas a infraestructura de APT29.
– Cuentas de correo usadas para spear phishing con dominios similares a los del Departamento de Estado.
– Accesos IMAP/SMTP desde países o rangos IP no habituales.
– Generación reciente de contraseñas de aplicación en cuentas objetivo.

**Herramientas y frameworks**
Aunque el ataque no requiere herramientas de explotación automatizada, se han detectado actividades de post-explotación compatibles con el uso de Cobalt Strike y Metasploit para el movimiento lateral y la exfiltración de datos una vez comprometido el entorno.

Impacto y Riesgos

El abuso de contraseñas de aplicaciones permite a los atacantes eludir la protección MFA, obteniendo acceso persistente a correos electrónicos, archivos adjuntos y datos sensibles. Según estimaciones, hasta un 15% de las cuentas corporativas con MFA activado podrían estar en riesgo si no se deshabilita la funcionalidad de contraseñas de aplicación. Entre las consecuencias figuran:

– Exposición de información confidencial y secreta.
– Riesgo de ataques de spear phishing internos y propagación lateral.
– Vulneración del cumplimiento normativo (GDPR, NIS2), con multas potenciales de hasta el 4% de la facturación global en caso de filtración de datos personales.
– Posibles daños reputacionales y económicos, con pérdidas estimadas entre 250.000 y 2 millones de euros por incidente en grandes corporaciones.

Medidas de Mitigación y Recomendaciones

– **Deshabilitar contraseñas de aplicación:** Revisar y desactivar esta opción en la consola de administración de Google Workspace o cuentas individuales, especialmente si la organización no utiliza clientes IMAP/SMTP legacy.
– **Implementar MFA robusto:** Priorizar métodos modernos como llaves FIDO2/U2F y deshabilitar autenticadores menos seguros (SMS, TOTP).
– **Monitorización y alertas:** Configurar alertas para la generación de contraseñas de aplicación y accesos IMAP/SMTP desde ubicaciones inusuales.
– **Formación y concienciación:** Refrescar los programas de concienciación para que los usuarios identifiquen ataques de spear phishing y no compartan credenciales bajo ninguna circunstancia.
– **Auditoría de accesos:** Analizar logs de actividad para detectar accesos sospechosos y revocar credenciales comprometidas inmediatamente.

Opinión de Expertos

Analistas de amenazas consultados destacan que “la existencia de mecanismos heredados como las contraseñas de aplicación sigue siendo un vector subestimado para eludir MFA”. Según David Ortega, CISO de una compañía europea del sector financiero, “la migración a autenticación basada exclusivamente en hardware y protocolos modernos es imprescindible para frenar el avance de actores estatales como APT29”.

Implicaciones para Empresas y Usuarios

Las organizaciones deben revisar periódicamente su postura de seguridad en torno a la autenticación. El abuso de contraseñas de aplicación subraya la necesidad de auditar configuraciones de cuentas y eliminar cualquier excepción heredada que pueda ser explotada. Además, la sofisticación de los ataques de ingeniería social requiere fortalecer la formación de los empleados, especialmente en sectores críticos y administración pública.

Conclusiones

Este incidente evidencia que la seguridad multifactor no es infalible si se mantienen excepciones o mecanismos legacy en el entorno. El abuso de contraseñas de aplicación por parte de grupos avanzados como APT29 obliga a las organizaciones a revisar sus políticas de acceso, endurecer los controles y apostar por tecnologías de autenticación sin contraseña de última generación.

(Fuente: www.bleepingcomputer.com)