Alerta por nueva estafa de phishing: así roban cuentas de Microsoft 365 sin que el usuario lo note

Las cuentas de Microsoft 365 se han convertido en un blanco prioritario para los ciberdelincuentes debido al valor de la información que concentran y a fallas de seguridad comunes, como contraseñas débiles o la ausencia de autenticación multifactor.

En este contexto, la empresa de ciberseguridad Proofpoint alertó sobre un aumento sostenido de ataques que permiten tomar el control de estas cuentas sin que el usuario advierta la intrusión, mediante el abuso de un mecanismo legítimo de Microsoft conocido como OAuth.

Según la investigación, los atacantes ya no dependen exclusivamente del robo directo de contraseñas. En su lugar, están explotando flujos de autenticación confiables, lo que les permite acceder a cuentas corporativas y personales de Microsoft 365 de forma silenciosa y efectiva.

Cómo funciona la nueva modalidad de ataque

El ataque comienza con un mensaje de phishing que aparenta ser legítimo. Puede llegar por correo electrónico e incluir un botón con una URL incrustada, un texto con hipervínculo o incluso un código QR. En todos los casos, el objetivo es llevar a la víctima a una página controlada por el atacante.

Una vez allí, el usuario recibe un código de dispositivo, ya sea en la propia página o a través de un correo posterior. Este código se presenta como parte de un proceso de verificación o seguridad, cuando en realidad funciona como una contraseña de un solo uso. El engaño se completa cuando el usuario es inducido a introducir ese código en una URL legítima de Microsoft, creyendo que está protegiendo su cuenta.

Al introducir la credencial, el usuario otorga sin saberlo permisos de acceso a su cuenta de Microsoft 365. Desde ese momento, el atacante puede leer correos, acceder a documentos, robar información sensible y moverse lateralmente dentro de la red de una organización, todo sin necesidad de conocer la contraseña original.

Un cambio en la evolución del phishing

Los investigadores de Proofpoint advierten que esta técnica marca una evolución importante en el phishing moderno. “Se están desplazando los ataques desde el robo directo de contraseñas hacia el abuso de flujos de autenticación de confianza”, explicaron.

El llamado phishing mediante códigos de dispositivos aprovecha la confianza que los usuarios depositan en los sistemas oficiales de inicio de sesión. Al interactuar con dominios reales de Microsoft, muchas personas no sospechan que están siendo víctimas de un fraude.

Herramientas que facilitan estos ataques

La empresa de ciberseguridad señala que el crecimiento de esta amenaza se ve impulsado por herramientas que automatizan y simplifican este tipo de ataques. Entre ellas se encuentran kits como SquarePhish2 y Graphish, así como aplicaciones maliciosas que se comercializan en foros de hacking.

Estas herramientas reducen las barreras técnicas para los atacantes, permitiendo que incluso actores con conocimientos limitados puedan lanzar campañas de phishing a gran escala. El resultado es un aumento en la cantidad de cuentas comprometidas y un mayor impacto potencial en empresas y usuarios.

Riesgos para usuarios y organizaciones

Una vez que un atacante obtiene acceso a una cuenta de Microsoft 365, las consecuencias pueden ser graves. Además del robo de información personal o corporativa, los ciberdelincuentes pueden utilizar la cuenta comprometida para enviar nuevos correos de phishing, acceder a servicios conectados o realizar fraudes financieros.

En entornos empresariales, este tipo de ataques facilita el movimiento lateral dentro de la red, lo que puede derivar en brechas de seguridad más amplias, pérdida de datos sensibles y daños reputacionales.

Cómo protegerse de este tipo de estafa

Ante este escenario, Proofpoint recomienda, en primer lugar, bloquear el flujo de códigos de dispositivo cuando sea posible. Si la desactivación no es viable, se sugiere aplicar un enfoque basado en listas de permitidos, limitando el uso de este método a casos específicos y justificados.

También es clave restringir los inicios de sesión a dispositivos previamente registrados o que cumplan con políticas de seguridad definidas. A esto se debe sumar la capacitación continua de los usuarios, con el objetivo de que puedan identificar intentos de phishing menos convencionales, como los que emplean códigos QR o procesos de verificación aparentes.

Por último, los especialistas aconsejan reforzar los controles sobre OAuth y avanzar en la adopción de mecanismos de autenticación multifactor resistentes al phishing, como los basados en el estándar FIDO.