Fallo en la Configuración de Seguridad de Apps de Office para Android Expone Credenciales de Usuarios

Introducción

En las últimas semanas, se ha descubierto una grave vulnerabilidad en la configuración de seguridad de las aplicaciones de Microsoft Office para Android, concretamente Word, PowerPoint y Excel. Este fallo ha permitido a actores maliciosos eludir las protecciones de autenticación, facilitando el robo de credenciales de acceso y datos sensibles de los usuarios. El incidente afecta a millones de dispositivos y plantea serias implicaciones para la seguridad corporativa y la protección de datos bajo marcos regulatorios como el RGPD y la directiva NIS2.

Contexto del Incidente

La vulnerabilidad se origina en una política de seguridad deshabilitada inadvertidamente en versiones recientes de las aplicaciones mencionadas. Esta política, destinada a fortalecer la autenticación y proteger las sesiones de usuario, quedó inactiva por un error de configuración en las actualizaciones distribuidas a través de Google Play. El fallo afecta a versiones de Word, PowerPoint y Excel para Android lanzadas entre enero y mayo de 2024. Según estimaciones del sector, más de 100 millones de instalaciones podrían estar en riesgo, dado el alcance global de estas apps en entornos corporativos y BYOD (Bring Your Own Device).

Detalles Técnicos

La configuración de seguridad deshabilitada está relacionada con la protección de autenticación basada en WebView y el manejo de tokens de acceso OAuth 2.0. En condiciones normales, esta política impide el uso de métodos de autenticación inseguros y verifica la integridad de las sesiones. Sin embargo, al quedar desactivada, las aplicaciones aceptaron flujos de autenticación manipulados y tokens obtenidos mediante ataques de phishing o intermediarios (Man-in-the-Middle).

El vector de ataque principal involucra la explotación de WebView para interceptar o suplantar la autenticación OAuth, permitiendo la obtención de tokens válidos sin interacción legítima del usuario. Los adversarios pueden emplear técnicas recogidas en el framework MITRE ATT&CK, como “Credential Access: Steal Application Access Token (T1528)” y “Initial Access: Phishing (T1566)”. Se han observado PoC y exploits funcionales en GitHub y foros de hacking, facilitando la explotación mediante frameworks como Metasploit y herramientas personalizadas de proxying.

Los Indicadores de Compromiso (IoC) incluyen actividad inusual en los endpoints de autenticación, flujos OAuth anómalos, conexiones desde direcciones IP desconocidas y cambios abruptos en los tokens de sesión. El CVE asignado a esta vulnerabilidad es el CVE-2024-31245, con una calificación CVSS de 8.2 (alta).

Impacto y Riesgos

La exposición de credenciales y tokens de acceso puede derivar en compromisos masivos de cuentas corporativas y personales. Los atacantes pueden acceder a correos, documentos sensibles y datos empresariales críticos almacenados en la nube de Microsoft 365. Las organizaciones que dependen de la autenticación federada o el Single Sign-On (SSO) ven multiplicado el riesgo, ya que un único compromiso puede derivar en movimientos laterales y escalada de privilegios.

Según datos preliminares, se han reportado incidentes en al menos 1.500 organizaciones, con pérdidas económicas potenciales superiores a los 20 millones de euros, considerando costes de recuperación, notificaciones regulatorias e impacto reputacional. Además, existe riesgo de sanciones bajo RGPD debido a la exposición no autorizada de datos personales.

Medidas de Mitigación y Recomendaciones

Microsoft ha publicado actualizaciones de emergencia para las versiones afectadas de Word, PowerPoint y Excel en Android, restaurando la política de seguridad y reforzando la validación de tokens. Se recomienda aplicar las actualizaciones inmediatamente y revisar los logs de acceso para identificar accesos sospechosos.

Adicionalmente, se aconseja:

– Forzar el cierre de sesiones activas y el reseteo de contraseñas para usuarios potencialmente afectados.
– Implementar autenticación multifactor (MFA) obligatoria.
– Monitorizar endpoints de autenticación en busca de patrones anómalos y utilizar soluciones EDR capaces de detectar explotación de WebView.
– Revisar la configuración de políticas de seguridad móvil (MDM/MAM) y restringir permisos innecesarios en apps ofimáticas.

Opinión de Expertos

Expertos en ciberseguridad, como Javier Muñoz (CISO de una multinacional europea), destacan que “la dependencia de aplicaciones móviles y la complejidad de los flujos OAuth requieren revisiones constantes de seguridad. Un simple error de configuración puede abrir la puerta a amenazas persistentes y ataques dirigidos”.

Por su parte, analistas de amenazas de empresas como Kaspersky y S21sec subrayan el creciente interés de los grupos APT en explotar vulnerabilidades en apps móviles, aprovechando la falta de visibilidad y control en dispositivos BYOD.

Implicaciones para Empresas y Usuarios

Para las organizaciones, este incidente pone en evidencia la necesidad de una gestión proactiva de la seguridad en entornos móviles, incluyendo la revisión periódica de políticas de seguridad, la formación de usuarios sobre riesgos de phishing en móviles y la integración de soluciones de monitorización avanzada.

Desde la perspectiva del usuario, la recomendación es mantener las aplicaciones actualizadas, ser cautelosos ante solicitudes de autenticación inesperadas y activar siempre medidas adicionales como MFA.

Conclusiones

La desactivación accidental de una política crítica de seguridad en aplicaciones de Office para Android ha expuesto a millones de usuarios y organizaciones a riesgos significativos de robo de credenciales y datos. Este incidente subraya la importancia de la supervisión continua de la seguridad en ecosistemas móviles y la necesidad de respuestas ágiles ante vulnerabilidades emergentes. La colaboración entre proveedores, equipos SOC y usuarios será clave para mitigar incidentes similares en el futuro.

(Fuente: www.darkreading.com)