El phishing por códigos de dispositivo dispara el robo de cuentas de Microsoft 365
- Seguridad
Una nueva oleada de ataques aprovecha el proceso legítimo de autorización OAuth para tomar el control de cuentas corporativas. Los ciberdelincuentes envían códigos de dispositivo que aparentan ser contraseñas de un solo uso, engañando a los usuarios para validar accesos maliciosos.
El phishing por códigos de dispositivo se ha convertido en una de las amenazas más preocupantes para las organizaciones que utilizan Microsoft 365. Según ha alertado Proofpoint, los atacantes están abusando del proceso de autorización OAuth —un mecanismo legítimo de inicio de sesión de Microsoft— para tomar el control de cuentas corporativas sin necesidad de robar contraseñas tradicionales.
El éxito de esta técnica reside en que no explota una vulnerabilidad, sino que abusa de un flujo legítimo de autenticación. El usuario cree estar reforzando la seguridad de su cuenta, cuando en realidad está completando el proceso que otorga acceso al atacante.
Este enfoque desplaza el phishing clásico —centrado en robar contraseñas— hacia un modelo basado en flujos de autenticación de confianza, más difícil de detectar tanto para las personas como para los sistemas de seguridad.
Robo de datos, movimientos laterales y persistencia en la red
El ataque comienza con un correo que incluye una URL incrustada en un botón, un enlace o incluso un código QR. Al acceder, el usuario inicia sin saberlo una secuencia diseñada para activar el flujo de autorización de dispositivos. En ese momento, recibe un código de dispositivo que los atacantes presentan como una supuesta contraseña de un solo uso (OTP). Al introducirlo en la página de verificación de Microsoft, el usuario valida el token original y concede acceso directo a su cuenta.
Una vez dentro, los atacantes pueden acceder a correos, archivos, calendarios y aplicaciones conectadas, además de realizar movimientos laterales dentro de la red corporativa. Proofpoint ya había observado esta técnica en ejercicios de red teaming y ataques dirigidos, pero ahora destaca su rápida adopción por parte de múltiples grupos, incluidos TA2723 y el colectivo proestado ruso UNK_AcademicFlare.
La expansión se ha visto impulsada por herramientas como SquarePhish2 y Graphish, así como por aplicaciones maliciosas disponibles en foros de hacking que automatizan el proceso y reducen las barreras técnicas para los atacantes.
Los expertos coinciden en que la mitigación más efectiva es bloquear por completo el flujo de códigos de dispositivo cuando no sea estrictamente necesario.
