Phishing de código: La amenaza Kali365 que evade el 2FA

ia de comportamiento.

Auditoría previa: Antes de aplicar la restricción masiva, los administradores deben auditar los registros de inicio de sesión de Entra ID para identificar y mapear cualquier uso legítimo existente de este flujo dentro de la infraestructura corporativa.

2. Bloqueo de la transferencia de sesiones de inicio de sesión (Session Transfers)

Es indispensable deshabilitar y bloquear cualquier política o configuración que permita a los usuarios transferir una sesión de inicio de sesión ya activa y autenticada desde estaciones de trabajo corporativas seguras y administradas hacia dispositivos móviles personales o sistemas de terceros no administrados por el equipo de TI corporativo.

3. Monitoreo predictivo y auditoría profunda de logs

Puesto que el atacante operará utilizando sesiones auténticas y autorizadas, el enfoque tradicional de buscar intentos fallidos de inicio de sesión resulta obsoleto. Los equipos de defensa y los especialistas en Detección y Respuesta a Amenazas de Identidad (ITDR) deben buscar anomalías de comportamiento específicas en los logs de auditoría de Entra ID:

• Inicios de sesión imposibles: Monitorear accesos en ventanas de tiempo extremadamente cortas provenientes de ubicaciones geográficas geográficamente distantes (viajes imposibles o “improbable travel”).
• Anomalías en agentes de usuario y navegadores: Analizar las discrepancias en el agente de usuario (User Agent) que realiza