- Proofpoint informa de un aumento en los exploits de phishing que aprovechan los flujos de código de dispositivos Microsoft OAuth 2.0
- Las víctimas ingresan código en dominios reales de Microsoft, proporcionando tokens de acceso a los atacantes
- Proofpoint recomienda bloquear el flujo de código del dispositivo
Los ciberdelincuentes, incluidos los actores de amenazas patrocinados por el estado, abusan cada vez más del flujo de autenticación de código de dispositivo OAuth 2.0 de Microsoft para apoderarse de las cuentas de Microsoft 365.
Esto es según un nuevo informe de los investigadores de ciberseguridad Proofpoint. En un nuevo artículo publicado el 18 de diciembre, los investigadores confirmaron que desde septiembre de 2025 han visto un fuerte aumento en los ataques de ingeniería social, en los que se engaña a las víctimas para que den acceso a sus cuentas.
Los ataques suelen comenzar con un correo electrónico de phishing que contiene un enlace o un código QR. Luego se les dice a las víctimas que para ver el contenido, deben volver a autenticar su cuenta ingresando un código de dispositivo en la página de inicio de sesión de Microsoft.
ruso, chino y otros
Una vez que ingresan el código, los actores de amenazas reciben un token de acceso vinculado a su cuenta, que no solo les brinda acceso, sino que también les permite monitorear el correo electrónico, el movimiento lateral y más.
El inicio de sesión se produce en un dominio real de Microsoft, explica Proofpoint, lo que significa que las defensas tradicionales contra el phishing y las comprobaciones de concienciación del usuario son en su mayoría inútiles. En realidad, los atacantes no roban contraseñas ni códigos MFA, por lo que tampoco se activan alarmas.
Proofpoint dice que actualmente varios grupos están abusando de esta técnica, incluido TA2723 (un actor de amenazas con motivación financiera), UNK_AcademicFlare (un actor de amenazas patrocinado por el estado ruso que apunta a cuentas de correo electrónico gubernamentales y militares con fines de ciberespionaje) y varios grupos de China.
También se dijo que los delincuentes están utilizando varios marcos de phishing, como SquarePhish 2 y Graphish, que automatizan el abuso de códigos de dispositivos, admiten códigos QR y se integran con el registro de aplicaciones de Azure. Esto reduce la barrera de entrada y permite que incluso actores de amenazas menos capacitados participen en ataques.
Proofpoint cree que es probable que aumente el abuso de OAuth y la autenticación de código de dispositivo, especialmente a medida que las organizaciones adopten la autenticación sin contraseña y basada en FIDO, y recomienda bloquear el flujo de código de dispositivo mediante acceso condicional siempre que sea posible.
El mejor antivirus para todos los bolsillos
Siga TechRadar en Google News Y Agréganos como fuente preferida Obtenga nuestras noticias, reseñas y opiniones de expertos en su feed. ¡No olvides hacer clic en el botón de seguir!
Y por supuesto que puedes Siga TechRadar en TikTok Reciba nuestras actualizaciones periódicas en forma de noticias, reseñas, unboxing y videos. WhatsApp muy
