Los ciberdelincuentes han encontrado una nueva forma de aprovechar uno de los protocolos de autenticación más extendidos en internet. Investigadores de Microsoft han detectado campañas de phishing que utilizan mecanismos legítimos del protocolo OAuth para redirigir a los usuarios hacia páginas controladas por atacantes, eludiendo así muchas de las defensas tradicionales contra el fraude digital.

La investigación, realizada por el equipo de seguridad de Microsoft Defender, ha identificado actividad maliciosa dirigida principalmente contra organizaciones gubernamentales y entidades del sector público. Sin embargo, la técnica utilizada podría afectar a cualquier organización que utilice servicios de autenticación basados en OAuth.

Lo más llamativo del ataque es que no explota una vulnerabilidad técnica ni roba directamente credenciales. En su lugar, se basa en manipular el comportamiento previsto del propio protocolo para generar redirecciones aparentemente legítimas que terminan conduciendo a infraestructuras maliciosas.

Un abuso del diseño del protocolo

OAuth es uno de los sistemas más utilizados para gestionar la autorización entre aplicaciones y servicios en la nube. Permite, por ejemplo, iniciar sesión en una aplicación utilizando una cuenta de un proveedor de identidad sin necesidad de compartir la contraseña con el servicio externo.

En ese proceso intervienen distintos mecanismos de autenticación y redirección que permiten completar el flujo de autorización. Uno de ellos es la capacidad del servidor de identidad para redirigir al usuario a una página concreta cuando se produce un error o cuando finaliza el proceso de autenticación.

Los atacantes han descubierto que este comportamiento puede ser manipulado. Utilizando parámetros específicos en las solicitudes de autenticación, pueden forzar un error controlado que desencadena una redirección automática hacia un dominio que ellos mismos controlan.

Esto permite crear enlaces que comienzan en dominios legítimos de proveedores de identidad como Microsoft Entra ID o Google Workspace, lo que aumenta la credibilidad del enlace y reduce las probabilidades de que los filtros de seguridad lo bloqueen.

Correos de phishing que imitan flujos legítimos

El ataque comienza con campañas de correo electrónico diseñadas para engañar a los usuarios y provocar que hagan clic en un enlace de autenticación aparentemente legítimo. Los mensajes utilizan temáticas habituales en el phishing corporativo, como solicitudes de firma electrónica, invitaciones a reuniones o avisos relacionados con documentos compartidos.

En algunos casos, los enlaces se insertan directamente en el cuerpo del mensaje. En otros, los atacantes los ocultan dentro de archivos PDF adjuntos o incluso utilizan archivos de calendario falsos para simular convocatorias de reuniones.

Una vez que el usuario hace clic, se inicia un flujo OAuth manipulado que aprovecha parámetros específicos para forzar un error en el proceso de autenticación.

Entre estos parámetros se encuentra “prompt=none”, que intenta realizar una autenticación silenciosa sin interacción del usuario, y un valor de “scope” inválido que garantiza que el proceso falle. Este fallo no es accidental: es el mecanismo que permite activar la redirección hacia el dominio malicioso.

La redirección invisible

Cuando el servidor de autenticación detecta que la solicitud contiene parámetros inválidos o que la autenticación no puede completarse sin interacción del usuario, devuelve un error estándar del protocolo.

Sin embargo, ese error no detiene el proceso. En lugar de ello, el sistema redirige automáticamente al navegador hacia la URL registrada previamente por la aplicación OAuth utilizada en el ataque.

En ese momento, la víctima abandona el dominio del proveedor de identidad y es enviada a una página controlada por los atacantes. Este paso puede pasar desapercibido para el usuario, ya que el enlace inicial pertenece a un dominio legítimo y la redirección ocurre de forma automática.

En algunos casos, la página de destino presenta un formulario de phishing tradicional diseñado para robar credenciales. En otros, el objetivo es distribuir malware directamente en el dispositivo de la víctima.

MLuz Domínguez
Periodista especializada en ciberseguridad y tecnología. Mi enfoque se centra en analizar mundo de las aplicaciones y la seguridad especialmente en redes sociales. Con un interés constante en informar sobre avances, riesgos y sin olvidar la importancia de la prevención, busco compartir información precisa y comprensible para el usuario.

Artículos relacionadosMás del autor

Deja un comentario

Por favor, introduce tu comentario
Por favor, introduce tu nombre