Investigadores de Microsoft alertan sobre una campaña de phishing de "robo de tokens"
En un aviso significativo para la comunidad global de ciberseguridad, los equipos de inteligencia de amenazas de Microsoft han detallado la aparición de una campaña de phishing altamente sofisticada que elude fundamentalmente los muros protectores de la autenticación multifactor (MFA). Esta campaña marca un giro estratégico por parte de los actores de amenazas, pasando del robo de contraseñas a la interceptación y robo directo de tokens de sesión: los pases digitales que prueban que un usuario ya está autenticado.
La mecánica técnica del ataque revela un nivel preocupante de refinamiento. La campaña comienza con un señuelo de ingeniería social clásico, a menudo un correo electrónico o mensaje engañoso diseñado para crear urgencia. Sin embargo, en lugar de dirigir a la víctima a una página de inicio de sesión falsa para capturar credenciales, el enlace conduce a un servidor proxy malicioso controlado por el atacante. Cuando la víctima hace clic en el enlace e intenta iniciar sesión en un servicio legítimo (como Microsoft 365, Google Workspace u otras plataformas SaaS), su tráfico se enruta a través de este proxy.
Este proxy actúa como un "hombre en el medio", situándose invisiblemente entre el usuario y la aplicación real. Mientras el usuario introduce sus credenciales y completa cualquier desafío de MFA, el proxy reenvía esta información al servicio genuino para establecer una sesión real. Crucialmente, captura la cookie de sesión o el token devuelto por el servicio. Este token es el botín principal. Con él, el atacante puede suplantar directamente la sesión de la víctima, a menudo desde un dispositivo y ubicación completamente diferentes, sin necesitar nunca más la contraseña o el código MFA. La sesión parece legítima porque se originó desde un inicio de sesión exitoso.
Por qué esto representa un cambio de paradigma crítico
Durante años, la industria de la seguridad ha defendido la MFA como una defensa primaria contra la toma de control de cuentas. Esta campaña anula esa defensa. El atacante no está intentando autenticarse a sí mismo; está secuestrando una sesión ya autenticada. Este cambio tiene implicaciones profundas:
- La MFA ya no es una solución mágica: Las organizaciones que se consideraban seguras debido a la aplicación de MFA ahora son vulnerables. La formación en concienciación de seguridad centrada únicamente en no introducir contraseñas en sitios falsos es insuficiente.
- Sigilo y persistencia: El robo de tokens proporciona a los atacantes un acceso más sigiloso y persistente. Dado que utilizan una sesión válida, su actividad puede confundirse con el comportamiento normal del usuario, evadiendo herramientas de detección que buscan inicios de sesión fallidos o intentos de autenticación anómalos.
- Espectro amplio de objetivos: Aunque probablemente apunte inicialmente a empresas para espionaje o fraude financiero, la técnica es aplicable a cualquier aplicación web que utilice autenticación basada en sesiones, incluidos servicios de banca online, redes sociales y correo electrónico.
Recomendaciones de Microsoft para la defensa
Microsoft enfatiza que defenderse de este nuevo paradigma requiere un enfoque por capas más allá de la seguridad perimetral tradicional:
- Implementar políticas de acceso condicional: Utilice soluciones como el Acceso Condicional de Microsoft Entra ID para aplicar políticas basadas en riesgos. Por ejemplo, bloquee sesiones que se originen en países no familiares, dispositivos desconocidos o direcciones IP con mala reputación, incluso si se presenta un token válido.
- Monitorizar la actividad anómala de sesión: Implemente soluciones de SIEM (Gestión de Eventos e Información de Seguridad) y XDR (Detección y Respuesta Extendidas) para detectar escenarios de viaje imposible (una sesión en Nueva York seguida de una en Londres minutos después), múltiples sesiones concurrentes desde ubicaciones dispares o sesiones con una duración inusualmente larga.
- Acortar la vida útil de las sesiones: Reduzca el período de validez de los tokens de sesión para limitar la ventana de oportunidad para que un atacante utilice un token robado. Combine esto con el "token binding", que vincula un token de sesión a características específicas del dispositivo cliente original.
- Protección de identidad avanzada: Utilice herramientas de protección de identidad que evalúen continuamente el riesgo del usuario en función del comportamiento, la ubicación, el estado del dispositivo y otras señales, forzando la reautenticación para sesiones de alto riesgo.
- Formación de usuarios mejorada: Actualice los programas de concienciación en seguridad para educar a los usuarios sobre esta nueva amenaza. Adviértales que hacer clic en un enlace e iniciar sesión con éxito aún puede llevar a una compromiso, y que deben ser hipervigilantes con cualquier solicitud de interacción no solicitada, incluso aquellas que no piden una contraseña.
El descubrimiento de esta campaña es un recordatorio contundente de que el panorama de amenazas es dinámico. A medida que las defensas mejoran, los adversarios innovan. El movimiento colectivo de la industria hacia la autenticación sin contraseña, utilizando métodos como las llaves de seguridad FIDO2, se vuelve aún más crítico, ya que estos protocolos son inherentemente resistentes a los ataques de robo de tokens. Por ahora, las organizaciones deben cambiar su enfoque defensivo de solo proteger la puerta (autenticación) a también vigilar continuamente los terrenos del palacio (actividad de sesión).
Comentarios 0
Comentando como:
¡Únete a la conversación!
Sé el primero en compartir tu opinión sobre este artículo.
¡Inicia la conversación!
Sé el primero en comentar este artículo.