Los piratas informáticos están abusando de una función de autenticación válida de Microsoft para ingresar a cuentas empresariales de Microsoft 365 a pesar de tener habilitada la autenticación multifactor.
Los investigadores de seguridad han advertido que los atacantes están comenzando a explotar el flujo de autorización de dispositivos OAuth 2.0 de Microsoft, un proceso diseñado para dispositivos como televisores inteligentes o hardware de IoT con opciones de entrada limitadas. Al explotar este flujo de trabajo, los atacantes pueden obtener acceso directo a la cuenta sin robar contraseñas ni interceptar códigos MFA.
Cómo funcionan los ataques a códigos de dispositivos OAuth
Las campañas de phishing se basan en engañar a los usuarios para que ingresen un código de dispositivo en la página de verificación genuina de Microsoft. Las víctimas reciben mensajes que presentan el código como una contraseña de un solo uso o una solicitud de verificación urgente.
Una vez que el usuario ingresa el código, el sistema de Microsoft autoriza un token de acceso para el atacante. Otorga control inmediato de las cuentas de las víctimas, lo que permite el robo de datos, el movimiento lateral entre sistemas corporativos y el acceso ininterrumpido a largo plazo a los recursos empresariales.
Debido a que el inicio de sesión se produce en un dominio de Microsoft válido, muchas herramientas tradicionales de detección de phishing no detectan la actividad.
Campañas masivas y actividades patrocinadas por el estado.
Los investigadores de Proofpoint han rastreado múltiples grupos de amenazas utilizando esta técnica desde al menos septiembre de 2025. Esto incluye tanto a ciberdelincuentes con motivación financiera como a actores vinculados al estado.
Dos conjuntos de herramientas de phishing dominan esta campaña:
- SquarePhish2, que incluye señuelos basados en códigos QR
- Gráfico, que automatiza el proceso de ataque al código del dispositivo OAuth.
Los grupos con motivación financiera, como TA2723, utilizan temas como actualizaciones salariales, avisos de beneficios e intercambio de documentos para atraer a las víctimas. Proofpoint también identificó actividades vinculadas a Rusia, incluido UNK_AcademicFlare, utilizando métodos similares.
¿Por qué es tan difícil detener este ataque?
Esta estrategia pone de relieve un cambio más amplio en el ciberdelito. En lugar de robar credenciales, los atacantes ahora explotan ellos mismos los flujos de trabajo de autenticación modernos. Debido a que la MFA sigue siendo técnicamente “habilitada”, las organizaciones pueden ignorar las violaciones hasta que se cause un daño significativo.
Los expertos advierten que las empresas deben monitorear de cerca el uso del código de dispositivo OAuth, limitar los flujos de autenticación innecesarios y educar a los usuarios para que nunca ingresen códigos de verificación no deseados en páginas de inicio de sesión legítimas.
Es por eso que Microsoft introdujo In Scope en el plan predeterminado para detectar rápidamente este tipo de exploits en el futuro.
a través de OSC en línea
Milán Stanojevich
Milan ha sido un apasionado de la tecnología desde su infancia y esto hizo que se interesara por todas las tecnologías relacionadas con la PC. Es un entusiasta de las computadoras y pasa la mayor parte de su tiempo aprendiendo sobre computadoras y tecnología. Antes de unirse a WindowsReport, trabajó como desarrollador web front-end. Ahora es un experto en resolución de problemas en nuestro equipo global, especializado en errores de Windows y problemas de software.
Los lectores ayudan a respaldar los informes de Windows. Es posible que recibamos una comisión si compra a través de nuestros enlaces.
Lea nuestra página de publicaciones para saber cómo puede ayudar a mantener el equipo editorial de Windows Report. Leer más
