sábado, 28 de junio de 2025

Alerta de Microsoft: Los nuevos métodos de phishing logran evadir incluso la autenticación multifactor

 


    El phishing sigue evolucionando y, a pesar de las medidas de seguridad más modernas, los cibercriminales encuentran formas cada vez más sofisticadas de engañar a empresas y usuarios.

Microsoft, a través de sus equipos de inteligencia de amenazas, ha detectado un incremento en ataques de phishing que apuntan especialmente a organizaciones que usan servicios en la nube como Office 365, aprovechando tanto la ingeniería social como vulnerabilidades humanas y técnicas avanzadas para obtener acceso a cuentas empresariales. Aunque muchas compañías ya han implementado soluciones como la autenticación multifactor (MFA), los atacantes han desarrollado tácticas para saltarse incluso estos mecanismos.

¿Cómo están operando los cibercriminales?

El método más avanzado detectado es el llamado Adversario en el Medio (AiTM).
En este ataque, los delincuentes usan herramientas como Evilginx para crear páginas web falsas que copian perfectamente el aspecto de los servicios legítimos (por ejemplo, la página de inicio de sesión de Microsoft o LinkedIn). El usuario, convencido de estar en la página real, ingresa sus credenciales y su código de MFA. El servidor controlado por el atacante captura ambos datos en tiempo real, permitiendo a los ciberdelincuentes acceder inmediatamente a la cuenta, incluso si la autenticación en dos pasos está activada.

Este método está siendo ofrecido como "Phishing como Servicio" en la dark web, lo que significa que no se requiere ser un hacker experto para lanzar campañas de este tipo. Solo se necesita contratar el servicio.

Otra técnica emergente es el phishing de códigos de dispositivo. Aquí, los atacantes envían mensajes aparentando ser de confianza (por ejemplo, avisos de impuestos, servicio civil, compras en línea) e incluyen un enlace a una supuesta página de autenticación. Al ingresar un código, el usuario en realidad está autorizando al atacante a tomar control de la cuenta en nombre de la víctima.

Consentimiento de aplicaciones maliciosas (OAuth)

En este caso, los atacantes envían un correo que solicita al usuario conceder permisos a una aplicación aparentemente legítima. Si el usuario acepta, el atacante obtiene un token que le permite acceder de manera persistente a la cuenta, incluso sin conocer usuario y contraseña.

Phishing para registrar dispositivos maliciosos

Recientemente se han observado campañas en las que, a través de correos o invitaciones falsas a reuniones, el atacante logra registrar un dispositivo propio dentro del entorno de la organización, lo que puede facilitar accesos no autorizados de largo plazo.

Ingeniería social personalizada y uso de IA

Además de la tecnología, los ciberdelincuentes siguen perfeccionando la ingeniería social. Esto significa que crean correos muy personalizados, usando nombres reales de compañeros de trabajo o incluso figuras públicas, para aumentar las posibilidades de engañar a la víctima.
El uso de inteligencia artificial permite redactar mensajes impecables, libres de errores y difíciles de distinguir de una comunicación real, lo que hace mucho más difícil detectar un intento de fraude.

Códigos QR y redes sociales

El phishing no se limita ya al correo electrónico. Hoy, se están usando códigos QR en restaurantes, estacionamientos y documentos para dirigir a las víctimas a páginas falsas. También aprovechan aplicaciones de mensajería y redes sociales para difundir estos enlaces.

¿Por qué estas técnicas son peligrosas?

  • Eluden medidas tradicionales: Incluso con MFA y filtros de correo, estos ataques pueden tener éxito porque explotan el comportamiento humano.

  • Difíciles de detectar: Las páginas falsas y los mensajes están tan bien hechos que muchas veces ni el usuario ni los sistemas automáticos los reconocen como amenazas.

  • Impacto: Si un atacante obtiene acceso, puede robar información sensible, suplantar identidades, moverse lateralmente dentro de la organización e incluso comprometer a socios o clientes.

 Recomendaciones de Microsoft y expertos

  1. Refuerza la MFA con políticas adicionales
    No basta solo con tener autenticación en dos pasos. Es clave aplicar políticas de acceso condicional que analicen factores como la ubicación, el dispositivo y el riesgo de la sesión.

  2. Limita el consentimiento de aplicaciones
    Configura para que solo aplicaciones verificadas puedan ser autorizadas por los empleados.

  3. Capacita a tu personal constantemente
    La formación sigue siendo esencial. Realiza simulacros de phishing y explica los riesgos de compartir información, hacer clic en enlaces o escanear códigos QR no verificados.

  4. Actualiza y revisa la configuración de seguridad
    No solo en el correo, sino en todas las plataformas que maneje la empresa: aplicaciones, Teams, redes sociales, sistemas de autenticación y dispositivos.

  5. Utiliza herramientas de protección avanzadas
    Implementa soluciones como Microsoft Defender para Office 365, que detectan ataques en tiempo real y bloquean accesos sospechosos.

  6. Bloquea los flujos de códigos de dispositivo si no son necesarios
    Si se usan, deben estar protegidos por políticas estrictas.

  7. Cuidado con los dispositivos que se conectan a la organización
    Requiere autenticación extra para registrar nuevos equipos y revisa cualquier actividad inusual.

Conclusión

El phishing sigue siendo una de las amenazas más grandes para cualquier organización, y los atacantes están usando nuevas técnicas para burlar las defensas tradicionales, incluso la autenticación multifactor. La clave está en combinar tecnología avanzada con la capacitación constante de los usuarios y una revisión permanente de las políticas de seguridad.

Mantente alerta, capacita a tu equipo y revisa tus sistemas. La mejor defensa sigue siendo una combinación de tecnología y sentido común.

Fuente: Microsoft

Publicado por en

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)