El caso Storm-2755: Por qué el MFA tradicional ya no es suficiente
La última investigación de Microsoft sobre la campaña de Storm-2755 no es solo el relato de un fraude contra empleados en Canadá; es una radiografía de una vulnerabilidad sistémica. El informe expone una realidad que muchas organizaciones aún se resisten a aceptar: la ciberseguridad corporativa sigue obsesionada con proteger las credenciales, mientras los atacantes ya han pasado a la siguiente fase: el robo de sesiones completas.
La anatomía del ataque: Más allá del usuario y la contraseña
El informe, publicado el 9 de abril de 2026, detalla un despliegue táctico que combina ingeniería social sofisticada con infraestructura técnica de interceptación. Storm-2755 utilizó una mezcla de SEO poisoning y malvertising para atraer a sus víctimas hacia portales falsos de Microsoft 365 mediante técnicas de Adversary-in-the-Middle (AiTM).
Lo relevante aquí no es la captura del string de la contraseña, sino la interceptación de tokens de autenticación. Al capturar el token, el atacante puede:
Bypasear mecanismos de MFA que no son resistentes al phishing (como SMS o códigos OTP).
Reutilizar la sesión para operar dentro de cuentas legítimas sin necesidad de volver a autenticarse.
Mantener persistencia mediante la renovación periódica de dichos tokens.
El fraude silencioso: De la intrusión a la manipulación de nóminas
A diferencia de los ataques de ransomware ruidosos, Storm-2755 optó por la discreción técnica para maximizar el beneficio económico. Una vez dentro del ecosistema de la víctima, el actor de amenazas ejecutó movimientos laterales enfocados en procesos administrativos:
Persistencia: Reutilización de tokens para evitar alertas por nuevos inicios de sesión.
Ofuscación: Creación de reglas de flujo de correo para ocultar notificaciones sobre cambios en la configuración de la cuenta.
Monetización: Manipulación directa de plataformas de RR. HH. (como Workday) para modificar datos de depósito directo y desviar salarios a cuentas controladas por los atacantes.
Punto clave: No hizo falta cifrar archivos ni interrumpir el servicio. Bastó con "habitar" la identidad del empleado para convertir una intrusión invisible en una pérdida financiera tangible.
Lecciones para la arquitectura de seguridad moderna
La gravedad de Storm-2755 reside en su pragmatismo. No se dirigió a un sector específico, sino a una geografía (Canadá), lo que demuestra una capacidad de escala basada en debilidades comunes. Este caso deja tres lecciones críticas para los CISO y equipos de seguridad:
1. El fin del MFA como "bala de plata"
Durante años, el MFA se vendió como la barrera definitiva. Este ataque demuestra que, si el MFA no es resistente al phishing (basado en FIDO2 o certificados), la confianza depositada en él es engañosa.
2. La identidad es un estado continuo, no un evento único
La protección no puede terminar en el login. La seguridad debe enfocarse en la validación continua de la sesión:
Implementación de Acceso Condicional adaptativo.
Análisis de anomalías en el comportamiento de la sesión (tiempos de respuesta, geolocalización imposible).
Protocolos de revocación rápida de tokens ante sospechas de compromiso.
3. Vigilancia en aplicaciones de terceros
El éxito de Storm-2755 dependió de la falta de supervisión sobre cambios en sistemas de RR. HH. Es imperativo integrar herramientas de vigilancia activa que alerten sobre modificaciones en reglas de correo y datos sensibles en aplicaciones financieras o de gestión de talento.
Conclusión:
Mientras las empresas sigan midiendo su postura de seguridad por la simple presencia de un segundo factor de autenticación, seguirán preparándose para el ataque de ayer. Storm-2755 confirma que el cibercrimen actual prefiere el fraude silencioso e integrado en el flujo del negocio. La resiliencia hoy no se mide por quién entra, sino por qué tan rápido podemos detectar a quien ya está operando dentro.