El panorama de la ciberseguridad está experimentando un cambio de paradigma a medida que los atacantes van más allá del robo de credenciales tradicional. Barracuda Networks, un proveedor líder de seguridad, ha descubierto la alarmante cifra de 7 millones de ataques de phishing mediante código de dispositivo en solo cuatro semanas. Este aumento se debe a un nuevo kit de Phishing como Servicio (PhaaS) llamado 'EvilTokens', diseñado específicamente para evadir la Autenticación Multifactor (MFA) en Microsoft 365 y Entra ID. Este artículo explora la mecánica de esta amenaza, su despliegue a escala industrial y las medidas que las organizaciones pueden tomar para defenderse.
El phishing con código de dispositivo, también conocido como 'device code authentication phishing', explota una funcionalidad legítima en el flujo de autenticación de Microsoft. En las concesiones de autorización de dispositivo estándar de OAuth 2.0, se presenta a los usuarios un código en un dispositivo (como un televisor inteligente o una impresora) y se les pide que lo ingresen en otro dispositivo (como un teléfono inteligente) para autenticarse. Los atacantes han convertido este proceso en un arma creando páginas de inicio de sesión falsas que solicitan este código. Cuando una víctima ingresa el código, el atacante lo captura y lo utiliza para autenticarse en su propio dispositivo, evadiendo efectivamente la MFA porque el código en sí mismo es un token válido.
El kit 'EvilTokens' lleva esto a un nivel industrial. Es una plataforma PhaaS que automatiza la creación de páginas de phishing, la generación de códigos y la recolección de tokens. Los atacantes pueden comprar acceso al kit, personalizar las páginas de destino para imitar las pantallas de inicio de sesión de Microsoft 365 y lanzar campañas con un mínimo conocimiento técnico. La investigación de Barracuda muestra que estas campañas no solo se dirigen a grandes empresas, sino también a pequeñas y medianas empresas, que a menudo carecen de equipos de seguridad sólidos.
El impacto es profundo. Dado que el código de dispositivo es una parte legítima del proceso de autenticación, las herramientas de seguridad tradicionales como los filtros de correo electrónico o las pasarelas web pueden no marcar la página de phishing como maliciosa. Además, los usuarios están condicionados a ingresar códigos como parte de su flujo de trabajo diario, lo que los hace más susceptibles al ataque. Una vez que el atacante tiene el token, puede acceder al correo electrónico, archivos y otros recursos en la nube de la víctima sin activar solicitudes adicionales de MFA.
La mitigación requiere un enfoque de múltiples capas. Las organizaciones deben deshabilitar la autenticación con código de dispositivo a menos que sea absolutamente necesario, aplicar políticas de acceso condicional que requieran dispositivos de confianza y educar a los usuarios sobre este vector de amenaza específico. Los equipos de seguridad también deben monitorear patrones de autenticación anómalos, como una sola dirección IP que genere múltiples solicitudes de código de dispositivo. Además, es crucial implementar seguridad de correo electrónico avanzada que pueda detectar y bloquear páginas de phishing en tiempo real.
En conclusión, el aumento del phishing con código de dispositivo y el kit 'EvilTokens' representa una escalada significativa en la carrera armamentista del phishing. A medida que los atacantes industrializan esta técnica, la comunidad de ciberseguridad debe adaptarse rápidamente. Al comprender la mecánica e implementar defensas sólidas, las organizaciones pueden proteger sus activos digitales de esta amenaza emergente.
Comentarios 0
Comentando como:
¡Únete a la conversación!
Sé el primero en compartir tu opinión sobre este artículo.
¡Inicia la conversación!
Sé el primero en comentar este artículo.