Meta News

Un reciente informe de Microsoft describe una campaña de phishing avanzada que ha logrado comprometer cuentas mediante el robo de tokens de autenticación. Este ataque, basado en técnicas Adversary-in-the-Middle (AiTM), representa una evolución significativa frente al phishing tradicional.

A diferencia de los ataques convencionales que solo buscan credenciales (usuario y contraseña), esta campaña está diseñada para interceptar sesiones completas de autenticación. El objetivo final no es la contraseña, sino el token de sesión, que permite al atacante acceder a la cuenta sin necesidad de autenticarse nuevamente.

El informe detalla un proceso cuidadosamente orquestado en varias etapas:

1. Ingeniería social inicial

La víctima recibe un correo convincente que simula provenir de una entidad legítima (empresa, servicio o institución). Este mensaje incluye un enlace a una página falsa.

2. Proxy malicioso (AiTM)

Al hacer clic, la víctima es redirigida a un sitio controlado por el atacante que actúa como intermediario entre el usuario y el servicio real.

3. Autenticación legítima… interceptada

La víctima introduce sus credenciales y completa la autenticación multifactor (MFA) sin notar anomalías. El proxy transmite la información al servicio real en tiempo real.

4. Robo del token

Una vez autenticado, el sistema genera un token de sesión válido. Este token es capturado por el atacante.

5. Acceso persistente

Con el token en su poder, el atacante puede acceder a la cuenta sin necesidad de credenciales ni MFA, manteniendo acceso incluso si la contraseña cambia.

Este tipo de campaña presenta varias características críticas:

• Evade MFA: incluso con autenticación en dos factores activada
• Acceso silencioso: no genera alertas inmediatas en muchos sistemas
• Persistencia: el acceso puede mantenerse hasta que expire el token
• Difícil detección: parece una autenticación legítima

En esencia, rompe uno de los pilares actuales de la seguridad: la confianza en el MFA como protección suficiente.

Según Microsoft, este tipo de ataques suele dirigirse a:

• Usuarios corporativos
• Cuentas con acceso a datos sensibles
• Administradores de sistemas
• Servicios cloud y plataformas de productividad

El impacto potencial incluye robo de información, acceso a correos, movimientos laterales dentro de la organización y preparación de ataques más complejos.

Algunas señales que pueden indicar un ataque AiTM incluyen:

• Inicios de sesión desde ubicaciones o dispositivos inusuales
• Actividad sospechosa inmediatamente después de autenticarse
• Tokens activos en múltiples ubicaciones simultáneamente
• URLs de login ligeramente alteradas

Para usuarios:

• Verificar cuidadosamente las URLs antes de iniciar sesión
• Evitar hacer clic en enlaces sospechosos en correos
• Utilizar gestores de contraseñas (detectan dominios falsos)

Para organizaciones:

• Implementar autenticación basada en tokens resistentes a phishing (como FIDO2)
• Monitorizar sesiones activas y revocar tokens sospechosos
• Aplicar políticas de acceso condicional
• Capacitar a empleados en detección de phishing

Este caso demuestra que los atacantes están evolucionando rápidamente. Ya no basta con proteger contraseñas; ahora el objetivo son las sesiones activas y los mecanismos de autenticación en sí mismos.

El informe de Microsoft subraya la necesidad de adoptar enfoques más robustos, como autenticación sin contraseña (passwordless) y tecnologías resistentes a intermediarios.