TempMail Ninja
//

Ataque phishing vishing: Ciberdelincuentes secuestran cuentas de Microsoft Entra

9 min de lectura
TempMail Ninja
Ataque phishing vishing: Ciberdelincuentes secuestran cuentas de Microsoft Entra

La adopción de tecnologías sin contraseña (passwordless), como las llaves de acceso o passkeys, ha sido ampliamente celebrada por la comunidad global de ciberseguridad como el paso definitivo hacia la erradicación del phishing tradicional. Al estar vinculadas criptográficamente a un dominio específico y requerir validación biométrica o de hardware local mediante estándares de la alianza FIDO y WebAuthn, estas credenciales neutralizan de raíz los ataques basados en el robo de contraseñas convencionales. Sin embargo, los actores de amenazas han vuelto a demostrar que incluso la arquitectura tecnológica más robusta sigue siendo vulnerable si el factor humano puede ser manipulado en sus fases de transición. Recientemente, un sofisticado ataque phishing vishing ha puesto en jaque la implementación segura de estos estándares en entornos corporativos de Microsoft Entra ID.

Esta campaña de ingeniería social de alta precisión, detectada de forma activa desde abril de 2026, expone un punto ciego crítico que muchas organizaciones suelen pasar por alto: la “ceremonia de inscripción” o registro de nuevas credenciales. Si bien una llave de acceso ya configurada es prácticamente imposible de interceptar mediante phishing tradicional, el proceso inicial mediante el cual un usuario vincula por primera vez una llave a su cuenta corporativa carece a menudo de los mismos controles estrictos de verificación. Es precisamente esta brecha de gobernanza la que el grupo criminal está explotando de forma sistemática para comprometer cuentas empresariales de Microsoft 365.

La paradoja de la inscripción: Anatomía de un ataque phishing vishing a gran escala

El éxito de esta campaña radica en una sincronización perfecta con las políticas de actualización de seguridad de la propia Microsoft. En mayo de 2026, la compañía tecnológica habilitó para los administradores de sistemas la capacidad de lanzar campañas de registro de passkeys, las cuales muestran alertas automáticas o “nudges” (empujoncitos) a los usuarios durante el inicio de sesión para motivarlos a configurar este método de autenticación. Para los empleados de cualquier organización, recibir solicitudes para actualizar sus medidas de seguridad se ha convertido en una rutina corporativa habitual.

Aprovechando este contexto, el grupo de ciberdelincuencia identificado por Okta bajo el identificador O-UNC-066 (y rastreado por Unit 42 de Palo Alto Networks como el grupo de extorsión “Pink” o CL-CRI-1147) ha estructurado una campaña de ingeniería social por voz (vishing) de gran eficacia. Los atacantes realizan llamadas telefónicas directas a empleados de sectores críticos, como la salud, la tecnología, la aviación, la automoción, la construcción y la industria de alimentos y bebidas. Durante la llamada, el atacante suplanta la identidad del personal de soporte técnico de TI o de equipos de seguridad informática de la propia empresa. Con un tono urgente y profesional, explican al empleado que, debido a las nuevas normativas de seguridad de la empresa, debe registrar de inmediato una llave de acceso para proteger su cuenta de Microsoft 365.

Infraestructura a la medida: Paneles PHP controlados por operadores humanos

A diferencia de los ataques de phishing automatizados convencionales, que suelen apoyarse en proxies inversos de adversario en el medio (AitM) como Evilginx para interceptar el tráfico de forma pasiva, O-UNC-066 utiliza una infraestructura híbrida altamente interactiva. La víctima es guiada por teléfono para que acceda a subdominios específicos creados para cada organización objetivo. Estos subdominios se alojan en dominios maliciosos previamente registrados que contienen la palabra “passkey” (por ejemplo, deploypasskey.com, assignpasskey.com, setpasskey.com o passkeyadd.com).

Para maximizar la credibilidad del engaño, las páginas de destino están diseñadas minuciosamente. Aunque cargan estilos visuales genéricos directamente de las redes de distribución de contenido (CDN) oficiales de Microsoft, el backend del kit de phishing está preconfigurado para inyectar logotipos, imágenes de fondo y esquemas de color específicos de la empresa de la víctima. Esto hace que la interfaz sea visualmente idéntica al portal de autenticación legítimo de su organización.

La verdadera sofisticación técnica de este kit reside en su panel de administración escrito en PHP. En lugar de un script estático, el sistema opera con un mecanismo de consulta continua (polling) que envía señales de estado (heartbeat) aproximadamente cada un segundo. Esto permite a un operador humano —que trabaja en paralelo con el atacante que realiza la llamada telefónica— monitorear en tiempo real cada acción que realiza la víctima en la pantalla. A través de este panel de control, el operador puede guiar visualmente el flujo de autenticación, adaptando dinámicamente el sitio web falso para que muestre exactamente el desafío de autenticación multifactor (MFA) que el sistema real de Microsoft está exigiendo en ese instante.

El flujo técnico paso a paso del secuestro de cuentas

Para comprender cómo se vulnera un sistema considerado “resistente al phishing”, es necesario desglosar la secuencia cronológica de este sofisticado ataque phishing vishing:

  1. El contacto inicial y redirección: El atacante convence a la víctima por teléfono de ingresar al portal de registro falso (por ejemplo, su-empresa.deploypasskey.com).
  2. Captura de credenciales principales: El usuario escribe su nombre de usuario y su contraseña en el portal apócrifo. Estos datos se envían inmediatamente mediante una petición POST con marca de tiempo al panel del operador (/backend.php). El operador introduce estos datos en el portal de inicio de sesión real de Microsoft.
  3. Relevo de MFA dinámico: Si la cuenta tiene activada la autenticación multifactor corporativa, Microsoft presentará un desafío (un código SMS, un código TOTP de una aplicación de autenticación o una solicitud de inserción numérica). El operador del panel detecta este desafío y fuerza a la interfaz falsa de la víctima a mostrar el formulario de entrada correspondiente. La víctima, creyendo que está interactuando con el sistema legítimo, introduce el código o aprueba la notificación push en su teléfono.
  4. La inscripción de la llave de acceso del atacante: Una vez que la sesión real de Microsoft ha sido aprobada gracias a la acción de la víctima, el atacante toma el control de la sesión dentro de la consola de administración de seguridad del usuario. El atacante inicia de inmediato la ceremonia de registro de una nueva passkey de hardware (como una llave USB de seguridad FIDO2 controlada físicamente por el propio atacante).
  5. La distracción criptográfica con BIP-39: Para evitar que la víctima sospeche o interrumpa el proceso, el kit de phishing redirige al usuario a una página que simula la creación de una supuesta “clave de recuperación de seguridad”. El sitio web obliga al usuario a escribir y verificar una secuencia de palabras mnemónicas basadas en el estándar industrial BIP-39 (comúnmente utilizado en billeteras de criptomonedas, pero completamente ajeno a los servicios de identidad de Microsoft). Esta tediosa tarea mantiene a la víctima ocupada y distraída durante varios minutos, impidiendo que revise su bandeja de entrada de correo electrónico, donde Microsoft envía alertas automáticas legítimas notificando que se ha registrado una nueva llave de seguridad en su cuenta.
  6. Confirmación del éxito: Una vez que el atacante ha enlazado con éxito su propio hardware criptográfico a la cuenta del usuario, el operador muestra una pantalla final de éxito (/done) y finaliza el proceso.

Las consecuencias de este secuestro son devastadoras para la organización. Al tener registrada una passkey propia en la cuenta corporativa de la víctima, el atacante obtiene un método de acceso persistente y altamente resistente a la detección. Incluso si el administrador de TI obliga al usuario afectado a restablecer su contraseña tradicional o revoca sus sesiones activas, la llave de acceso del atacante seguirá estando vinculada a la cuenta y le permitirá volver a autenticarse sin necesidad de conocer la nueva contraseña ni de volver a superar los desafíos tradicionales de MFA.

Quién es “Pink” (O-UNC-066) y cuál es su motivación financiera

La atribución de este clúster de actividad delictiva apunta a un actor de amenazas sumamente motivado por el beneficio económico rápido. De acuerdo con las investigaciones conjuntas de Okta y Unit 42 de Palo Alto Networks, el grupo detrás de la marca de extorsión Pink está estrechamente vinculado a “The Com” (The Community), un ecosistema criminal descentralizado de habla inglesa caracterizado por reclutar a operadores jóvenes especializados en técnicas agresivas de ingeniería social telefónica y suplantación de identidad (similares a los tácticas de Scattered Spider).

El objetivo principal de Pink no es el espionaje geopolítico, sino la extorsión mediante el robo masivo de información empresarial. Una vez que logran el acceso inicial persistente a través del secuestro de la cuenta de Microsoft 365, los atacantes se mueven con rapidez dentro del entorno de la nube para descargar datos confidenciales alojados en directorios corporativos de SharePoint Online y OneDrive. Posteriormente, las víctimas son listadas en el sitio web de filtraciones del grupo, el cual comenzó a operar el 31 de mayo de 2026. El grupo suele exigir el pago de un rescate financiero bajo la amenaza de publicar o vender la información robada en un plazo de 72 horas, utilizando canales de negociación privados en la plataforma qTox.

Estrategias de defensa y mitigación: Asegurando la fase de inscripción

El auge de este sofisticado método de ataque no implica que las llaves de acceso o passkeys sean inseguras por definición; al contrario, siguen siendo el estándar de oro para prevenir ataques a gran escala basados en credenciales robadas. Lo que este escenario demuestra es la urgente necesidad de blindar y auditar de manera rigurosa la fase de inscripción e inicialización de estas tecnologías dentro del ecosistema de gestión de identidades y accesos (IAM) de las corporaciones.

Para mitigar eficazmente el riesgo de sufrir un compromiso a través de este vector, las organizaciones deben implementar de inmediato las siguientes directrices técnicas de seguridad:

  • Restringir el registro de llaves de acceso a dispositivos de confianza: Las políticas de acceso condicional de Microsoft Entra deben configurarse para permitir la inscripción de nuevas llaves de seguridad FIDO2 únicamente desde dispositivos gestionados por la empresa (dispositivos que cumplan con las directivas de Microsoft Intune u otros sistemas de MDM) o desde direcciones IP corporativas de confianza.
  • Implementar el Pase de Acceso Temporal (TAP) con verificación robusta: Para el registro de nuevos métodos de autenticación sin contraseña, se debe exigir el uso de un Pase de Acceso Temporal (Temporary Access Pass) emitido exclusivamente tras una autenticación presencial del empleado o una verificación de identidad rigurosa fuera de banda (por ejemplo, videollamada con el equipo de TI con verificación de documento de identidad).
  • Monitorear activamente los registros de credenciales en los logs de auditoría: Configurar alertas inmediatas en el SIEM corporativo para detectar eventos de adición de métodos de seguridad en Microsoft Entra ID (específicamente la actividad de auditoría User registered security key). Si un usuario registra una llave de acceso fuera del horario laboral o desde un navegador inusual, la cuenta debe ser bloqueada preventivamente para su investigación.
  • Notificaciones automatizadas multicanal: Implementar flujos de trabajo que envíen alertas automáticas por canales alternativos (como mensajería interna en Slack o SMS al teléfono personal registrado) tan pronto como se asocie una nueva llave criptográfica a la cuenta del usuario, garantizando que este pueda denunciar la
TN

Escrito por

TempMail Ninja

Experto en privacidad digital y seguridad en línea. Apasionado por crear herramientas que protejan la identidad de los usuarios en internet.