El Phishing representa uno de los principales desafíos de seguridad en el ámbito digital. Los cibercriminales emplean diversas tácticas para sustraer contraseñas y datos personales. En esta ocasión, se ha identificado una campaña que se dirige a cuentas de Microsoft 365 y Google, utilizando VoidProxy, una plataforma de Phishing como servicio (PhaaS), que permite a cualquier persona, sin necesidad de amplios conocimientos técnicos, llevar a cabo ataques de este tipo.
Este hallazgo fue realizado por expertos en seguridad de Okta Threat Intelligence, tal como se detalla en su informe técnico publicado el 11 de septiembre. La metodología emplea diversas tácticas de adversario en el medio (AitM) para obtener credenciales, códigos de autenticación multifactor (MFA) y cookies de sesión en tiempo real, lo que les permite apoderarse de las claves. El robo de cookies de sesión es particularmente alarmante, ya que concede a los atacantes acceso continuo a la cuenta, incluso si la víctima modifica su contraseña. Este método, conocido como session hijacking, elude la autenticación multifactor (MFA) al permitir que la cookie funcione como un ‘pase temporal’ que el servidor reconoce como válido hasta su expiración.
Nuevo ataque amenaza a Microsoft 365 y Google
Los analistas de seguridad de Okta han señalado que esta estrategia es escalable, evasiva y sumamente sofisticada. El ataque inicia con un correo electrónico que utiliza cuentas comprometidas de diferentes servicios como Constant Contact, Active Campaign y NotifyVisitors. Estos mensajes contienen enlaces acortados, cuyo propósito es inducir a la víctima a hacer clic y redirigirla a sitios de Phishing.
Los sitios maliciosos de Phishing están alojados en dominios de bajo costo, que se van descartando. Ejemplos de estos son .icu, .sbs, .xyz o .top. Todos ellos utilizan Cloudflare para ocultar su dirección IP real. Al acceder a estas páginas, los usuarios se encuentran inicialmente con un CAPTCHA de Cloudflare, diseñado para filtrar bots y aumentar la apariencia de legitimidad.
Posteriormente, las víctimas se toparán con una página que imita la interfaz de inicio de sesión de Google o Microsoft. Al ingresar sus credenciales en este formulario de Phishing, las solicitudes son redirigidas a través del adversario en el medio (AitM) de VoidProxy a los servidores de Google o Microsoft.
El servidor proxy de este servicio retransmite el tráfico entre la víctima y el servicio legítimo, capturando nombres de usuario, contraseñas y códigos MFA durante el proceso. Cuando el servicio legítimo genera una cookie de sesión, VoidProxy la intercepta y crea una copia que está disponible para los atacantes en el panel de control de la plataforma.
Así, los atacantes pueden obtener acceso a las cuentas de Microsoft o Google. Este ataque de Phishing es altamente sofisticado y representa un grave riesgo para las cuentas de los usuarios. Desde INCIBE, el Instituto Nacional de Ciberseguridad de España, advierten que el Phishing es una amenaza de alto nivel que debe ser evitada.
Protección personal
Los investigadores de seguridad de Okta han proporcionado algunas recomendaciones clave para protegerse. Entre ellas, se destacan las siguientes:
- Limitar el acceso a aplicaciones sensibles únicamente a dispositivos gestionados.
- Implementar controles de acceso basados en el riesgo.
- Utilizar la vinculación de sesiones IP para aplicaciones administrativas.
- Requerir la reautenticación de administradores que intenten realizar acciones críticas.
| Acción Inmediata | Para tu cuenta de Google | Para tu cuenta de Microsoft |
|---|---|---|
| Revisar dispositivos conectados | Accede a myaccount.google.com → Seguridad → ‘Tus dispositivos’. | Accede a account.microsoft.com → Seguridad → ‘Dispositivos vinculados’. |
| Verificar actividad reciente | En la misma sección, revisa ‘Actividad de seguridad reciente’. | En la misma sección, consulta la pestaña ‘Historial de inicios de sesión’. |
| Cerrar sesiones sospechosas | Haz clic en cualquier dispositivo que no reconozcas y selecciona ‘Cerrar sesión’. | Selecciona ‘Quitar’ en los dispositivos desconocidos para revocar el acceso. |
En RedesZone, siempre recomendamos mantener el sentido común. Es vital no facilitar el trabajo a los atacantes; por ello, se aconseja tener sumo cuidado al instalar aplicaciones, mantener todo actualizado y evitar hacer clic en enlaces sospechosos. En particular, es fundamental tener precaución al iniciar sesión, ya que nunca se debe acceder a través de enlaces enviados por correo, redes sociales o cualquier otra plataforma, sino siempre a través de sitios oficiales.
Preguntas frecuentes
¿Qué debo hacer si creo que han robado mi contraseña?
¿Un antivirus me protege?
¿Qué es la autenticación multifactor?
