- Aumentan los ataques de robo de cuentas de Microsoft 365 abusando del flujo OAuth con códigos de dispositivo.
- Los ciberdelincuentes usan correos, enlaces y códigos QR que llevan a páginas legítimas de Microsoft para engañar al usuario.
- La técnica permite sortear contraseñas y, en muchos casos, incluso la autenticación multifactor.
- Expertos recomiendan bloquear o restringir el flujo de códigos de dispositivo, reforzar OAuth y formar a los empleados.
El robo de cuentas de Microsoft 365 se ha convertido en una de las preocupaciones más serias para empresas y administraciones, especialmente en Europa y España, donde el paquete de productividad en la nube de Microsoft es casi estándar en muchos entornos corporativos. Los atacantes ya no se conforman con robar contraseñas de forma clásica: ahora se apoyan en mecanismos legítimos de inicio de sesión de Microsoft para tomar el control de las cuentas sin necesidad de conocer la clave del usuario.
Investigadores de la empresa de ciberseguridad Proofpoint han constatado un aumento notable de las tomas de control de cuentas de Microsoft 365 aprovechando el flujo de autorización de dispositivos OAuth 2.0, una función pensada originalmente para equipos con pocas opciones de entrada (como televisores inteligentes o dispositivos IoT). Este cambio marca, según los expertos, un hito en la evolución del phishing, que pasa de robar credenciales a explotar procesos de autenticación de confianza haciendo creer a la víctima que está asegurando su propia cuenta.
Cómo se roba una cuenta de Microsoft 365 abusando de OAuth
En el centro de esta oleada de ataques está el flujo de códigos de dispositivo de OAuth 2.0, un sistema legítimo que Microsoft utiliza para que el usuario pueda iniciar sesión en una aplicación introduciendo un código corto en una página oficial. Lo preocupante es que los ciberdelincuentes han aprendido a disfrazar ese mismo proceso como un paso extra de seguridad, cuando en realidad lo usan para que la víctima les entregue, sin darse cuenta, la llave de su cuenta de Microsoft 365.
Las campañas suelen arrancar con un mensaje de phishing que llega por correo electrónico, aunque también se han visto señuelos enviados por redes sociales o mensajería corporativa. En ese mensaje, el usuario encuentra una URL incrustada en un botón, un texto con hipervínculo o incluso un código QR. Al hacer clic o escanear el código, la víctima es redirigida a una página que imita a la perfección un flujo de Microsoft, por ejemplo una supuesta revisión de seguridad o la confirmación de un nuevo inicio de sesión.
En esa web aparece o se envía a la víctima un código de dispositivo que se presenta como una contraseña de un solo uso (OTP) o un código de verificación urgente. Las instrucciones indican que debe introducirlo en la URL de verificación de Microsoft, que es real y pertenece al dominio legítimo de la compañía. Cuando el usuario introduce ese código en la página auténtica, se valida el token generado previamente por el atacante, lo que le concede acceso directo a la cuenta de Microsoft 365 sin necesidad de conocer la contraseña ni de romper la autenticación multifactor.
Este detalle es especialmente delicado: el proceso de verificación ocurre en una página de Microsoft verdadera, de modo que muchas soluciones de seguridad y filtros antifraude no detectan la operación como maliciosa. Para el usuario, todo parece un procedimiento estándar, y para la organización se trata, técnicamente, de un inicio de sesión «legítimo» que respeta las políticas y la MFA.
Phishing con códigos de dispositivo: una técnica en expansión
Proofpoint destaca que el phishing mediante códigos de dispositivo lleva tiempo existiendo, pero en los últimos meses se ha disparado su uso en campañas a gran escala. Ya no se trata solo de pruebas de seguridad controladas o acciones puntuales, sino de oleadas masivas dirigidas a cuentas corporativas de Microsoft 365 de múltiples sectores, desde empresas privadas hasta organismos públicos.
Esta táctica posibilita el robo de datos almacenados en OneDrive, SharePoint o el correo de Exchange Online, facilita movimientos laterales dentro de la red corporativa y permite mantener compromisos persistentes en el tiempo. Una vez dentro, el atacante puede revisar correos, descargar documentos confidenciales, suplantar al usuario para lanzar nuevos fraudes e incluso registrar aplicaciones maliciosas adicionales para asegurarse un acceso prolongado al entorno.
Los investigadores han identificado tanto ciberdelincuentes con fines económicos como grupos potencialmente alineados con intereses estatales utilizando esta técnica. Entre ellos mencionan clústeres como TA2723, así como un grupo proestado ruso que Proofpoint denomina UNK_AcademicFlare. En muchos casos, estas operaciones se centran en sectores especialmente sensibles en Europa y Estados Unidos, como administraciones públicas, universidades, centros de investigación, transporte o servicios críticos.
Lo que hace tan atractivo este método es que, al no requerir el robo directo de credenciales, resulta más difícil de detectar con controles tradicionales y aprovecha la confianza que generan los flujos oficiales de Microsoft. Incluso cuando las organizaciones han implantado mecanismos de autenticación multifactor resistentes al phishing, como los basados en el estándar FIDO, el abuso de OAuth puede seguir siendo un punto débil si no se gestiona adecuadamente.
Herramientas y kits que facilitan el robo de cuentas de Microsoft 365
El auge de estas campañas no es casual: viene acompañado de la aparición de herramientas y kits de phishing diseñados expresamente para explotar el flujo de códigos de dispositivo. Entre los más mencionados por los expertos se encuentran SquarePhish (en sus versiones 1 y 2) y Graphish, que se distribuyen en foros de hacking y, en algunos casos, están disponibles públicamente.
SquarePhish2, por ejemplo, automatiza el abuso de los flujos de autorización de concesión de dispositivos OAuth, utilizando códigos QR y plantillas que imitan procesos legítimos de configuración de autenticación multifactor de Microsoft. El kit genera códigos de dispositivo, guía al usuario hasta el portal oficial de verificación y, en paralelo, gestiona el intercambio de tokens OAuth en los servidores controlados por el atacante. Cuando la víctima introduce el código en la página de Microsoft, la herramienta captura el acceso concedido y lo aprovecha para entrar en la cuenta objetivo.
Por su parte, Graphish se presenta como un kit de phishing avanzado, compartido en la Dark Web, que combina la explotación de OAuth con registros de aplicaciones en Azure y técnicas de adversario en el medio (AiTM). Mediante el uso de proxies inversos y certificados TLS válidos, estos kits son capaces de replicar de forma muy convincente la experiencia de inicio de sesión, interceptando credenciales y sesiones incluso en entornos con MFA robusta.
La disponibilidad de estas herramientas reduce drásticamente la barrera de entrada: ya no hace falta ser un experto en protocolos de autenticación para lanzar campañas complejas contra cuentas de Microsoft 365. Basta con adquirir o descargar un kit, personalizar los señuelos (por ejemplo, documentos de nóminas o avisos internos de recursos humanos) y distribuir los mensajes de phishing a gran escala.
Señuelos habituales y tácticas de ingeniería social
En el plano práctico, los atacantes recurren a cebos muy variados adaptados al entorno corporativo. Entre los ejemplos detectados se encuentran correos que aparentan informar sobre actualizaciones salariales, beneficios para empleados, documentos contractuales, cambios urgentes de política interna o invitaciones a revisar archivos compartidos en OneDrive o DocuSign.
Muchos mensajes parecen proceder de compañeros de trabajo, departamentos de RR. HH. o proveedores de confianza, utilizando direcciones de correo previamente comprometidas o dominios muy similares a los legítimos. En otros casos, se aprovechan servicios como LinkedIn o sistemas internos de comunicación para reforzar la sensación de autenticidad antes de lanzar el enlace malicioso.
Un patrón común es la inclusión de mensajes de urgencia: se insiste en que el usuario debe actuar rápidamente para no perder el acceso a un documento, confirmar un cambio de seguridad o aceptar unas nuevas condiciones. Esa presión temporal busca que la víctima omita comprobaciones básicas, como revisar con calma la URL o contrastar el mensaje con el supuesto remitente.
Una vez que el usuario clica en el enlace o escanea el código QR, el flujo de ataque se desarrolla de manera relativamente silenciosa. La víctima introduce la dirección de correo, recibe un código de dispositivo y es guiada paso a paso para validarlo en un portal de Microsoft real. Desde el punto de vista del usuario, parece estar completando un proceso de seguridad reforzada; en realidad, está entregando el control de su cuenta al atacante.
Impacto en empresas y organizaciones europeas
Las consecuencias para una organización europea cuyo entorno de Microsoft 365 resulte comprometido van mucho más allá de un simple acceso al correo electrónico. Los atacantes pueden descargar grandes volúmenes de información, acceder a repositorios de proyectos, leer comunicaciones internas sensibles o usar la cuenta secuestrada como punto de partida para nuevas campañas de phishing internas o externas.
En entornos regulados, como el sector financiero, sanitario o la administración pública, un incidente de este tipo puede acarrear sanciones por incumplimiento normativo, especialmente si se exfiltran datos personales protegidos por el Reglamento General de Protección de Datos (RGPD). Además del impacto económico y legal, existe un daño reputacional considerable cuando los clientes descubren que sus datos o comunicaciones han quedado expuestos.
En muchas compañías, una sola cuenta con permisos elevados (por ejemplo, un usuario de TI o un directivo con acceso a múltiples áreas) puede convertirse en la puerta de entrada a todo el tenant de Microsoft 365. A partir de ahí, los atacantes pueden registrar aplicaciones adicionales, modificar reglas de correo para ocultar su actividad o desplegar nuevos mecanismos de persistencia que mantengan el acceso incluso después de cambiar contraseñas.
Todo esto hace que el robo de cuentas de Microsoft 365 mediante abuso de OAuth no sea únicamente un problema técnico, sino un riesgo estratégico para la continuidad de negocio y la protección de información crítica en Europa y España.
Medidas recomendadas para frenar el robo de cuentas de Microsoft 365
Ante este escenario, los expertos de Proofpoint y otros analistas recomiendan adoptar medidas específicas centradas en el flujo de códigos de dispositivo y en la gestión de OAuth. La recomendación más contundente, cuando la operativa de la organización lo permite, es bloquear por completo el flujo de códigos de dispositivo en el entorno de Microsoft 365, evitando que pueda utilizarse para autorizar nuevas aplicaciones.
Si por necesidades de negocio no es viable un bloqueo total, se aconseja implementar un modelo de lista de permitidos, restringiendo el uso de estos flujos a casos muy concretos y debidamente justificados. En la práctica, esto pasa por limitar la autorización de códigos de dispositivo a dispositivos conformes o previamente registrados, usuarios específicos y ubicaciones de confianza, siempre bajo el paraguas de políticas de acceso condicional bien definidas.
Además, es crucial reforzar los controles sobre las aplicaciones OAuth que tienen acceso a datos corporativos. Esto incluye revisar de manera periódica las aplicaciones que los usuarios han autorizado, revocar las que no sean estrictamente necesarias, supervisar permisos excesivos y establecer procesos de aprobación para nuevas integraciones con Microsoft 365.
Los especialistas insisten en que estos controles deben acompañarse de programas de concienciación y formación específicos. No basta con advertir sobre enlaces sospechosos: es necesario explicar a los empleados, de forma clara y práctica, que nunca deben introducir códigos de dispositivo recibidos por correo o mensajes inesperados, aunque el portal donde se les pida sea auténtico. La educación del usuario es, en este caso, una de las barreras más eficaces.
Por último, se recomienda mantener todos los sistemas y aplicaciones actualizados, revisar la configuración de seguridad de Microsoft 365 (incluidas las alertas de inicio de sesión anómalas) y combinar las soluciones de seguridad tradicionales con herramientas capaces de detectar comportamientos sospechosos en el uso de OAuth y en los flujos de autenticación.
El incremento de tomas de control de cuentas de Microsoft 365 mediante el abuso de autorizaciones OAuth y códigos de dispositivo demuestra hasta qué punto los atacantes son capaces de darle la vuelta a las propias medidas de seguridad para convertirlas en un arma a su favor; en este contexto, las organizaciones españolas y europeas que basan su trabajo diario en la nube de Microsoft necesitan revisar a fondo sus políticas de acceso, el uso que hacen de estos flujos y, sobre todo, la preparación de sus usuarios para detectar y frenar a tiempo este tipo de ataques.