Ciberdelincuentes emplean llamadas fraudulentas para secuestrar credenciales Entra en Microsoft 365
Introducción
En los últimos meses, un grupo de amenazas identificado como O-UNC-066 ha intensificado sus operaciones contra organizaciones de sectores críticos, utilizando técnicas de vishing (phishing por voz) altamente sofisticadas. El objetivo principal es comprometer cuentas Microsoft 365 mediante la manipulación del proceso de registro de claves de acceso (passkeys) en Microsoft Entra, abriendo la puerta a ataques de extorsión de datos a gran escala. Este artículo analiza en profundidad la campaña, los vectores de ataque empleados, los riesgos asociados y las medidas recomendadas para mitigar este tipo de amenazas emergentes.
Contexto del Incidente
El auge de la autenticación sin contraseña (passwordless) y las claves de acceso (passkeys) en entornos corporativos ha llevado a los actores de amenazas a adaptar sus tácticas. O-UNC-066, monitorizado por Okta, ha puesto el foco en la función de enrolamiento de passkeys de Microsoft Entra, aprovechando la ingeniería social telefónica para engañar a los usuarios y lograr el registro de dispositivos controlados por los atacantes. Este enfoque multicanal, que combina vishing con campañas de phishing tradicionales, representa un cambio relevante en la evolución del fraude de identidad y la exfiltración de datos.
Detalles Técnicos
El proceso de ataque comienza con una llamada telefónica dirigida a usuarios legítimos de Microsoft 365, en la que el atacante se hace pasar por personal de soporte técnico o del departamento de seguridad IT de la organización. Bajo el pretexto de una supuesta alerta de seguridad o actualización urgente, se solicita al usuario que registre un nuevo passkey en su cuenta Entra, facilitando un enlace de phishing controlado por los atacantes.
El kit de phishing identificado está gestionado mediante un panel centralizado que automatiza la recolección de credenciales y facilita el registro fraudulento de passkeys. Según análisis de Okta, el kit es capaz de interceptar tokens de acceso, manipular el flujo de autenticación OAuth y suplantar portales legítimos de Microsoft Entra. En muchos casos, los atacantes aprovechan herramientas como Evilginx2 para realizar ataques de proxy inverso y capturar sesiones autenticadas.
El patrón de ataque se alinea con varias técnicas del framework MITRE ATT&CK, destacando:
– T1566.002 (Phishing vía Spearphishing por servicios): Uso de llamadas y mensajes personalizados.
– T1110 (Brute Force): En fases iniciales, para identificar usuarios válidos.
– T1556 (Manipulación de mecanismos de autenticación): Compromiso y registro fraudulento de passkeys.
Indicadores de Compromiso (IoC) incluyen la aparición de nuevos dispositivos de autenticación no reconocidos en los logs de Microsoft Entra, accesos anómalos desde direcciones IP no habituales y la creación de sesiones persistentes mediante passkeys maliciosas.
Impacto y Riesgos
La naturaleza del ataque permite a los actores de amenazas obtener control persistente sobre cuentas corporativas de alto valor, evadiendo controles tradicionales de MFA y dificultando la revocación de accesos comprometidos. Entre los riesgos más relevantes se encuentran:
– Exfiltración y cifrado de datos sensibles para extorsión.
– Movimiento lateral dentro de la organización mediante privilegios escalados.
– Compromiso de cuentas privilegiadas de administración cloud.
– Riesgo de violación de normativas como el GDPR y NIS2 debido a la pérdida de datos personales y confidenciales.
Según estimaciones de Okta, hasta el 15% de las organizaciones objetivo en campañas recientes han reportado incidentes de enrolamiento fraudulento de passkeys, con pérdidas económicas potenciales que superan los 2,5 millones de euros por incidentes de extorsión y recuperación.
Medidas de Mitigación y Recomendaciones
Para contrarrestar este vector emergente, se recomienda:
– Revisar y restringir la política de enrolamiento de passkeys, limitando la autoinscripción y aplicando flujos de aprobación.
– Implementar alertas en SIEM/SOC para la detección de nuevos dispositivos de autenticación y accesos desde ubicaciones no habituales.
– Desplegar procedimientos de verificación fuera de banda para solicitudes de soporte relacionadas con autenticación.
– Realizar campañas internas de concienciación sobre vishing y suplantación de identidad.
– Auditar periódicamente los logs de Microsoft Entra y emplear soluciones EDR/XDR para la detección de actividad sospechosa.
Opinión de Expertos
Según Carlos García, analista senior de amenazas en S21sec, “el enfoque en passkeys demuestra que los actores de amenazas están adaptando su arsenal para explotar las nuevas capas de seguridad, comprometiendo la cadena de confianza en los procesos de autenticación”.
Marta Prieto, CISO en una multinacional tecnológica, añade: “Es fundamental combinar controles técnicos con una cultura de seguridad robusta. La ingeniería social sigue siendo el eslabón más débil y requiere inversión continua en formación y detección”.
Implicaciones para Empresas y Usuarios
Esta campaña pone de manifiesto la necesidad de revisar y endurecer las políticas de gestión de identidad y acceso (IAM), especialmente en entornos cloud. Las empresas deben anticipar auditorías regulatorias tras incidentes, con sanciones potenciales bajo GDPR por falta de diligencia en la protección de datos personales. Asimismo, la entrada en vigor de NIS2 impone obligaciones adicionales de notificación y resiliencia para sectores críticos.
Conclusiones
El ataque dirigido al proceso de enrolamiento de passkeys en Microsoft Entra mediante vishing representa una evolución significativa en la sofisticación de las campañas de ingeniería social. Las organizaciones deben reforzar su postura defensiva combinando controles técnicos, educación y monitorización proactiva para mitigar el impacto de estas amenazas avanzadas.
(Fuente: feeds.feedburner.com)
