Una nueva ola de ataques de phishing altamente convincentes está logrando eludir una de las medidas de seguridad más confiables en la empresa moderna: la autenticación de dos factores (2FA). Esta técnica, que ha provocado alertas urgentes de agencias nacionales de ciberseguridad, implica la utilización maliciosa de la infraestructura legítima de colaboración de Microsoft SharePoint para alojar páginas fraudulentas de robo de credenciales. Esta campaña marca una evolución peligrosa en la ingeniería social, apuntando directamente al ecosistema corporativo global.
La cadena de ataque comienza con un correo electrónico engañoso, que a menudo suplanta la identidad de un colega de confianza, un departamento interno o un socio externo. El correo contiene un enlace que, crucialmente, apunta a un dominio genuino de Microsoft SharePoint Online (por ejemplo, *.sharepoint.com). Debido a que este dominio es inherentemente confiable para los sistemas de seguridad de correo y los firewalls corporativos, el enlace malicioso evade fácilmente los filtros de URL estándar y las comprobaciones de reputación. La víctima, al ver una URL legítima de SharePoint, es mucho más propensa a hacer clic sin sospechas.
Al hacer clic, el usuario es llevado a una página de SharePoint creada profesionalmente que imita a la perfección un portal de inicio de sesión legítimo de Microsoft 365. La página está alojada en el servicio real de SharePoint, lo que hace que su certificado SSL sea válido y su origen sea indiscutiblemente auténtico desde la perspectiva del navegador. Se solicita al usuario que introduzca su nombre de usuario y contraseña corporativos. Aquí es donde el ataque innova para derrotar a la 2FA.
Después de que la víctima envía sus credenciales, la página de phishing muestra una segunda solicitud, pidiendo el código de un solo uso de su aplicación de autenticación, SMS u otro método 2FA. El usuario, creyendo que está en una página real de Microsoft como parte de un proceso de verificación de varios pasos, a menudo accede. Los atacantes capturan tanto la contraseña estática como el código temporal en tiempo real. Utilizando herramientas automatizadas, inyectan inmediatamente estas credenciales en la sesión real de inicio de sesión de Microsoft 365, obteniendo acceso completo al correo electrónico, Teams, OneDrive y otros servicios conectados de la víctima antes de que expire el código de un solo uso.
El Centro Nacional de Ciberseguridad (NCSC) de Suiza ha sido particularmente vocal en sus alertas, señalando que este método ha provocado un número significativo de compromisos de cuentas exitosos dentro de organizaciones del gobierno y el sector privado suizo. El éxito de la campaña radica en su explotación de la confianza inherente. Las herramientas de seguridad están diseñadas para bloquear enlaces a dominios maliciosos conocidos, pero sharepoint.com no es un dominio malicioso: es una plataforma empresarial central utilizada por millones a diario. El ataque traslada la carga maliciosa del destino del enlace al contenido alojado dentro de ese destino confiable.
Implicaciones Técnicas y Cambios en la Defensa:
Este vector de ataque requiere un cambio fundamental en las estrategias de defensa en profundidad. Las puertas de enlace de seguridad de correo tradicionales que analizan principalmente las URL de los enlaces son insuficientes. Las organizaciones deben ahora considerar:
- Capacitación Mejorada del Usuario: Se debe capacitar a los empleados para que examinen detenidamente las solicitudes de autenticación, incluso cuando aparezcan en plataformas confiables. La lección clave es que una plataforma legítima puede albergar contenido ilegítimo.
- Seguridad a Nivel de Aplicación: Implementar políticas de Acceso Condicional en Azure AD que restrinjan los inicios de sesión desde ubicaciones desconocidas, dispositivos no compatibles o que sigan patrones de viaje imposibles puede mitigar el daño incluso si se roban las credenciales.
- Autenticación Resistente al Phishing: La defensa definitiva es migrar a métodos 2FA resistentes al phishing como las claves de seguridad FIDO2 (por ejemplo, YubiKey) o Windows Hello para empresas. Estos métodos utilizan desafíos criptográficos que no pueden ser interceptados y reutilizados por un sitio de phishing.
- Inspección de Contenido para SaaS: Las soluciones de seguridad capaces de escanear y analizar el contenido dentro de aplicaciones SaaS autorizadas como SharePoint en busca de formularios de phishing se están volviendo esenciales.
- Monitoreo de DNS y Red: Monitorear los patrones de tráfico anómalos desde los endpoints hacia SharePoint, especialmente secuencias rápidas de intentos de autenticación, puede ayudar a detectar cuentas comprometidas.
La campaña "El asedio a SharePoint" es un recordatorio contundente de que, a medida que las organizaciones adoptan y confían en las suites de colaboración en la nube, los atacantes se adaptan rápidamente y explotan esa misma confianza. Defender contra estas tácticas avanzadas de Compromiso de Correo Electrónico Empresarial (BEC) requiere pasar del bloqueo de enlaces basado en el perímetro a un enfoque más holístico centrado en la protección de identidades, la concienciación del usuario y la adopción de estándares de autenticación invulnerables al phishing.
Comentarios 0
Comentando como:
¡Únete a la conversación!
Sé el primero en compartir tu opinión sobre este artículo.
¡Inicia la conversación!
Sé el primero en comentar este artículo.