Ir al contenido

Hackers rusos explotan OAuth de Microsoft para atacar aliados de Ucrania

Una campaña dirigida revela grietas en la cadena de suministro SaaS y reaviva el debate sobre Zero Trust y el hardening de APIs

Una campaña dirigida revela grietas en la cadena de suministro SaaS y reaviva el debate sobre Zero Trust y el hardening de APIs

Contexto del incidente

Investigadores de Volexity detectaron dos grupos (UTA0352 y UTA0355) que, desde marzo de 2025, emplean técnicas nunca vistas para abusar de los flujos legítimos de autenticación OAuth 2.0 de Microsoft 365. Los actores se hacen pasar por diplomáticos europeos y contactan vía Signal o WhatsApp a ONG y think tanks vinculados con Ucrania, invitándolos a videollamadas sobre el conflicto. El enlace “oficial” genera un código OAuth que la víctima entrega al atacante, quien lo canjea por un token con acceso completo al buzón y a otros recursos de Microsoft Entra ID. VolexityThe Record from Recorded Future

Cómo se aprovecha OAuth

A diferencia de campañas anteriores basadas en “device code”, los grupos solicitan directamente el parámetro code del flujo OAuth para registrar un dispositivo propio en Entra ID y sostener el acceso durante meses. El proceso ocurre íntegramente en dominios de Microsoft; no hay infraestructura maliciosa, lo que elude la mayoría de los controles de reputación y de correo. Volexity

Impacto en la cadena de suministro SaaS

El incidente subraya cómo un único eslabón débil (OAuth) puede comprometer datos sensibles en todo el ecosistema SaaS de una organización. El Cloud Security Alliance advierte que la dependencia creciente de terceros y APIs confiables abre brechas que rebasan el alcance tradicional de Zero Trust, pues el atacante opera “dentro” del perímetro al usar tokens válidos. Home | CSA

Zero Trust y hardening de APIs: lecciones clave

  • Identidad como nuevo perímetro: aplique MFA resistente a phishing y políticas de acceso condicional que exijan dispositivos gestionados.
  • Inspección de tokens: registre y analice client_id, scopes y patrones de redirect URI para detectar anomalías.
  • Segmentación “micro-SaaS”: limite privilegios de aplicaciones internas y de terceros; audite consentimientos OAuth existentes.
  • Protección de APIs: implemente rate-limiting, validación estricta de JWT y firmas fuertes; exponga solo endpoints necesarios y monitorice llamadas anómalas.
  • Automatización de respuesta: use XDR o SOAR para revocar tokens en tiempo real cuando se detecten secuencias sospechosas.

Recomendaciones inmediatas

  1. Revocar dispositivos desconocidos registrados recientemente en Entra ID.
  2. Alertar cada vez que se use el client_id de Visual Studio Code o Teams con scopes amplios.
  3. Capacitar al personal sobre la nueva estafa de “códigos de videollamada”.
  4. Adoptar controles adaptativos: análisis de riesgo contextual por IP, hora y comportamiento.

¡Es hora de que cuides mejor tu empresa!

Fortalece tu postura de seguridad y protege tu cadena de suministro SaaS con un sitio web reforzado, APIs blindadas y un enfoque Zero Trust de extremo a extremo.

www.SiteSupremacy.com combina diseño web, SEO y soluciones de ciberseguridad para que tu organización crezca sin exponer sus datos críticos. ¡Contáctanos hoy mismo y evoluciona tu defensa digital!

¡Empieza hoy!

José Mario Rivera Carranza 24 de abril de 2025
Compartir
Archivar
Microsoft refuerza su Secure Future Initiative: nuevas barreras contra las ciberamenazas
La firma de Redmond presenta 11 funciones de seguridad “secure‑by‑default”, un kit público de diseño seguro y medidas internas que impactarán a millones de sitios y organizaciones.