Las cuentas de Microsoft 365 —una pieza crítica de la infraestructura digital de miles de empresas— están siendo objeto de una nueva y peligrosa oleada de ataques de phishing. Esta vez los atacantes no buscan que ingreses tu contraseña directamente, sino que te engañan para otorgar permisos a aplicaciones maliciosas a través de OAuth, lo que les permite acceder a tus recursos sin necesidad de conocer tus credenciales.

A diferencia del phishing tradicional que intenta robar usuario y contraseña, este enfoque explota la confianza en el proceso de autorización de aplicaciones: si consientes sin verificar, estás abriendo la puerta por ti mismo.

Este tipo de ataque explota una vulnerabilidad humana y de procedimiento, no un fallo técnico en sí, y por eso es tan difícil de detectar sin una concienciación y controles adecuados.

Cómo funciona el ataque

En esta campaña, los atacantes envían correos con enlaces que parecen legítimos (por ejemplo, invitaciones a documentos o notificaciones de colaboración). Al hacer clic, el usuario es redirigido a una página de consentimiento que imita a Microsoft 365.

Si el usuario aprueba los permisos solicitados —por ejemplo, acceso a correo, archivos o perfiles— la aplicación maliciosa queda autorizada. A partir de ese momento, los atacantes pueden:

  • Leer y enviar correos desde la cuenta comprometida
  • Acceder a archivos en OneDrive o SharePoint
  • Usar permisos para moverse lateralmente dentro de la organización

Todo ello sin que el usuario haya introducido su contraseña en una página fraudulenta.

Por qué este enfoque es tan eficaz

Esto no es un phishing tradicional. No hay necesidad de “hackear” la contraseña cuando puedes manipular al usuario para que ceda acceso voluntariamente.

Funciona porque:

  • El flujo de consentimiento legítimo de OAuth confía en que el usuario sabe lo que está autorizando
  • El enlace puede parecer un recurso corporativo legítimo
  • Muchas personas aprueban permisos sin verificar el alcance real.

Los atacantes han comprendido que las credenciales no son siempre el objetivo; a veces son solo la llave que el propio usuario entrega.

Cómo defenderse

  • Revisa cuidadosamente los permisos solicitados: Antes de aprobar una aplicación, verifica quién la solicita y qué datos o acciones pide acceso.
  • Implementa políticas de consentimiento de aplicaciones: Limita qué aplicaciones pueden ser autorizadas y quién puede aprobarlas dentro de tu organización.
  • Activa alertas de actividad sospechosa: Configura monitoreo para detectar y bloquear aplicaciones no autorizadas.
  • Educa a tus usuarios: Capacita a equipos para reconocer cuándo una solicitud de OAuth es legítima o potencialmente maliciosa.

Protege tus identidades digitales antes de que sea demasiado tarde

Los ataques basados en OAuth demuestran que los ciberdelincuentes están migrando de técnicas tradicionales a otras que explotan flujos legítimos de autorización para obtener acceso persistente sin romper contraseñas.

En Apolo Cybersecurity te ayudamos a reforzar la seguridad de tu entorno digital desde la raíz: auditamos y fortalecemos las políticas de consentimiento de aplicaciones, implementamos controles de acceso y verificación en múltiples niveles, formamos a tus equipos para detectar y frenar ataques basados en ingeniería social y diseñamos defensas específicas para prevenir el phishing.

Prev Post
Next Post

¿Tienes dudas? ¡Estamos encantados de ayudarte!

¡CONTÁCTANOS HOY!
info@apolocybersecurity.com
Responsable: Apolo Analytics S.L.
Finalidad: Responder a tu mensaje y almacenaje en base de datos para gestionar tu solicitud.
Legitimación: Consentimiento del interesado al enviar el formulario.
Destinatarios: No se cederán datos a terceros, salvo obligación legal.
Derechos: Puedes ejercer tus derechos de acceso, rectificación y supresión, entre otros, enviando un correo a secretaria@apolocybersecurity.Com.
Información adicional: Puedes consultar la información completa en nuestra Política de Privacidad.

¡Gracias !

Su mensaje a sido recibido correctamente.
Oops! Algo a ido mal a la jora de enviar el formulario.
te esperamos!
agenda una llamada
Project photo
Envíanos un mail
Project photo
+34 937948378
Project photo
Carrer de Sant Joan de la Salle 42, Barcelona, España
Project photo
FAQScontactoTÉRMINOS Y CONDICIONESTrabaja con Nosotros
Acelerados por:
Certificaciones:
Light Eyes forma parte de Apolo Cybersecurity
Aviso legalpolítica de privacidadCookies
Privacy Settings
Copyright © 2025 Apolo Cybersecurity