Proofpoint alerta del auge del phishing por códigos de dispositivo
Publicado por Redacción Portal ERP España en 22/12/2025 en IT SecurityCompartir:
Los ataques roban cuentas de Microsoft 365 explotando autorizaciones legítimas de inicio de sesión
Foto: cortesía. Portal ERP España.
Proofpoint ha detectado un fuerte incremento en tomas de control de cuentas de Microsoft 365, impulsado por atacantes que abusan de las autorizaciones OAuth, un proceso legítimo de inicio de sesión de Microsoft. Estas campañas comienzan con un mensaje que incluye una URL incrustada en un botón, texto con hipervínculo o código QR. Al acceder a la URL, se inicia una secuencia que aprovecha la autorización de dispositivos de Microsoft, donde el usuario recibe un código que el atacante presenta como contraseña de un solo uso (OTP) para validar en una falsa página de verificación.
De esta forma, el token original queda validado y el atacante obtiene acceso completo a la cuenta de M365 objetivo. Estas técnicas abren la puerta a robos de datos, movimientos laterales en la red y compromisos persistentes. Aunque Proofpoint había observado previamente actividad maliciosa dirigida y acciones de red teaming controladas, ahora destaca su uso por múltiples grupos como TA2723, el grupo proestado ruso UNK_AcademicFlare y otros.
Los investigadores de Proofpoint identifican kits como SquarePhish2 y Graphish, además de aplicaciones maliciosas a la venta en foros de hacking, que automatizan y amplían estos phishing con códigos de dispositivo, reduciendo las barreras técnicas para atacantes menos sofisticados.
Te puede interesar: Predicciones de ciberseguridad para 2026: los agentes como nueva amenaza interna
Los expertos de Proofpoint señalan que esta tendencia marca una evolución importante en el phishing, que "desplaza los ataques del robo de contraseñas hacia el abuso de flujos de autenticación de confianza, mientras se hace creer a los usuarios que están protegiendo sus cuentas”. Recomiendan “reforzar los controles sobre OAuth, así como la concienciación y formación de los usuarios frente a estos riesgos emergentes”, especialmente ante la adopción creciente de autenticación multifactor resistente al phishing basada en el estándar FIDO, ya que “el abuso de los flujos de autenticación OAuth previsiblemente continuará aumentando”.
La medida más eficaz consiste en bloquear por completo el flujo de códigos de dispositivo. Cuando no sea viable, se sugiere un enfoque basado en listas de permitidos, limitado a casos específicos y justificados, exigiendo inicios de sesión desde dispositivos conformes o registrados previamente. Todo ello debe complementarse con formación continua de usuarios contra phishing no tradicionales.
Proofpoint subraya la relevancia de estas defensas en entornos donde Microsoft 365 es herramienta central para empresas, particularmente aquellas con adopción avanzada de autenticación moderna. Proofpoint posiciona esta amenaza como un vector persistente que explota la confianza inherente a procesos OAuth legítimos, obligando a las organizaciones a revisar configuraciones de seguridad y políticas de acceso.
