Epidemia de phishing con código de dispositivo de Microsoft 365 ataca empresas europeas

Una nueva ola de ataques de phishing altamente sofisticados se está extendiendo por Europa, dirigidos específicamente a cuentas corporativas de Microsoft 365 mediante la explotación maliciosa de una función de autenticación legítima. Los equipos de seguridad están dando la voz de alarma sobre esta campaña coordinada, que representa una amenaza significativa para empresas industriales, infraestructuras críticas y agencias gubernamentales. La metodología del ataque representa una evolución peligrosa más allá de la recolección tradicional de credenciales, atacando directamente los mecanismos de autenticación multifactor (MFA) en los que las organizaciones confían para su protección.

El núcleo del ataque explota el flujo de concesión de código de dispositivo OAuth 2.0 de Microsoft. Esta función está diseñada para permitir a los usuarios iniciar sesión en aplicaciones en dispositivos con capacidades de entrada limitadas, como televisiones inteligentes o consolas de videojuegos. El proceso genera un código corto y de tiempo limitado en el servidor de autenticación de Microsoft. El usuario debe luego visitar una página específica de Microsoft (microsoft.com/devicelogin) en un dispositivo separado, introducir el código y aprobar la solicitud de inicio de sesión. Es una herramienta legítima y útil para escenarios específicos.

Sin embargo, los actores de amenazas han convertido este flujo en un arma. En la campaña actual, los atacantes inician una solicitud de inicio de sesión por código de dispositivo para la cuenta de una víctima objetivo. Obtienen el código generado y luego utilizan tácticas de ingeniería social—típicamente a través de correos electrónicos de phishing disfrazados de alertas de seguridad urgentes, mensajes de soporte de TI o invitaciones a reuniones—para engañar al empleado y que visite la legítima página de inicio de sesión de dispositivos de Microsoft e introduzca el código proporcionado. El mensaje de phishing crea una narrativa convincente, como afirmar que el usuario debe verificar su identidad para evitar la suspensión de la cuenta o para acceder a un documento importante.

El engaño crítico es que el usuario interactúa únicamente con el dominio genuino de Microsoft (microsoft.com), no con un sitio falso imitador. Esto sortea los indicadores tradicionales de phishing, como URLs sospechosas o advertencias de certificados SSL. Una vez que la víctima introduce el código y aprueba la solicitud, al dispositivo del atacante se le concede un token OAuth, proporcionando acceso completo a la cuenta de Microsoft 365 de la víctima (incluyendo Exchange Online, SharePoint y OneDrive) sin conocer ni necesitar nunca la contraseña de la cuenta. El ataque es silencioso; el usuario puede ver un breve mensaje de 'inicio de sesión exitoso' en la página de Microsoft, sin saber que acaba de entregar las llaves de su identidad digital corporativa.

Esta técnica es distinta de los ataques 'GhostPairing' reportados contra WhatsApp, que también abusan del emparejamiento de dispositivos. La campaña de Microsoft 365 se centra directamente en el entorno empresarial, donde el beneficio por credenciales comprometidas es sustancialmente mayor. El acceso a una cuenta de correo corporativa puede permitir el compromiso de correo electrónico empresarial (BEC), movimiento lateral dentro de la red, exfiltración de datos y más phishing dirigido desde una dirección interna de confianza.

El impacto se califica como alto debido a varios factores. Primero, el ataque sortea las defensas basadas en contraseñas y las solicitudes de MFA que requieren un segundo factor desde el dispositivo legítimo del usuario. Segundo, el uso de la propia infraestructura de Microsoft como parte de la cadena de ataque hace que la detección mediante análisis de URL sea casi imposible para el usuario final. Tercero, la campaña parece coordinada y generalizada en toda Europa, lo que sugiere la participación de actores de amenazas sofisticados, posiblemente grupos cibercriminales con motivación financiera o patrocinados por estados que apuntan a entidades de alto valor.

Para los profesionales de la ciberseguridad, esta campaña requiere un cambio en la estrategia defensiva. Las mitigaciones técnicas son primordiales. Las organizaciones deben implementar y hacer cumplir políticas de Acceso Condicional en Microsoft Entra ID (anteriormente Azure AD). Las políticas clave deben incluir restringir la autenticación por código de dispositivo a dispositivos compatibles o unidos a Azure AD híbrido, bloquear por completo los protocolos de autenticación heredados, y crear políticas que requieran ubicaciones específicas o rangos de IP confiables para las concesiones de código de dispositivo.

La monitorización mejorada también es crítica. Los centros de operaciones de seguridad (SOC) deben auditar los registros de inicio de sesión en busca del tipo de concesión 'código de dispositivo', especialmente para cuentas privilegiadas, y correlacionar estos eventos con alertas de actividad sospechosa como descargas masivas de archivos o reglas de reenvío de correo inusuales. La formación de concienciación de usuarios debe actualizarse inmediatamente para incluir este vector de amenaza específico. Los empleados necesitan entender que una solicitud para introducir un código en un sitio web legítimo aún puede ser un ataque de phishing si el contexto y el origen de la solicitud son sospechosos. El mensaje central debe ser: "Nunca introduzcas un código que te envíen por correo o chat en ningún sitio web, incluso si el sitio parece real".

Microsoft es consciente del potencial de abuso del flujo de código de dispositivo. Si bien mantienen que es una función crítica para la accesibilidad del usuario, recomiendan a los administradores utilizar los controles de Acceso Condicional disponibles para gestionar su riesgo. No hay indicios de una vulnerabilidad en el servicio de Microsoft; más bien, se trata de un ataque de ingeniería social puro que abusa del modelo de confianza de una función legítima.

La aparición de esta epidemia de phishing subraya una tendencia más amplia: a medida que mejoran las defensas del perímetro y el MFA, los atacantes innovan para explotar los eslabones humanos y procedimentales de la cadena de seguridad. Defenderse de tales ataques requiere un enfoque por capas que combine controles técnicos estrictos, educación continua del usuario y análisis de comportamiento vigilante para detectar anomalías tras una posible compromiso. Para las empresas europeas, esta campaña sirve como un recordatorio contundente de que el robo de credenciales sigue siendo un vector de ataque primario, y los métodos se están volviendo cada vez más sutiles y difíciles de detectar.