Proofpoint detecta una campaña de phishing que suplanta apps de Microsoft

Alerta sobre ataques híbridos que burlan la autenticación multifactor y asegura que ciberdelincuentes seguirán centrando sus esfuerzos en la identidad de los usuarios

Foto: cortesía. Portal ERP España.

Proofpoint ha identificado una amenaza híbrida que combina técnicas de correo electrónico y nube para comprometer cuentas de Microsoft 365. La campaña utiliza aplicaciones falsas de Microsoft OAuth, como SharePoint, Adobe y DocuSign, con el objetivo de eludir la autenticación multifactor (MFA) y obtener acceso no autorizado a entornos corporativos.

Los atacantes emplean kits de phishing de intermediario (AiTM), como Tycoon y ODX, que permiten burlar la MFA. Esta técnica avanzada facilita la recopilación de información, movimientos laterales dentro de la red, instalación de malware y nuevos intentos de phishing desde cuentas ya comprometidas. Desde principios de 2025, los investigadores de Proofpoint han detectado más de 50 aplicaciones suplantadas y cerca de 3.000 intentos de compromiso en más de 900 entornos de Microsoft 365, con una tasa de éxito confirmada superior al 50%.

Algunas campañas están dirigidas a sectores específicos, como el aeroespacial y el de defensa, utilizando señuelos como solicitudes de presupuesto y acuerdos comerciales. Los mensajes fraudulentos se envían desde cuentas de correo previamente comprometidas y afectan a cientos de clientes.

Te puede interesar: Proofpoint lanza una solución unificada para proteger datos empresariales

Proofpoint ha compartido sus hallazgos con Microsoft. En respuesta, la compañía anunció en junio una actualización de la configuración predeterminada de Microsoft 365, que se completará en agosto. Esta incluye el bloqueo de protocolos de autenticación heredados y la exigencia de consentimiento del administrador para el acceso a aplicaciones de terceros. Se espera que estas medidas reduzcan significativamente el impacto de este tipo de amenazas.

Una de las campañas analizadas por Proofpoint suplantaba a Adobe mediante el uso de la plataforma SendGrid. Los correos contenían una URL única que redirigía al usuario a una aplicación OAuth fraudulenta en Microsoft Azure. Independientemente de si el usuario hacía clic en “cancelar” o “aceptar”, era conducido a una página falsa de autenticación de Microsoft, diseñada para robar credenciales, tokens de MFA y cookies de sesión. Esta página imitaba la identidad visual de Entra ID de la organización del usuario.

En un entorno donde las cadenas de ataque se vuelven cada vez más sofisticadas, Proofpoint advierte que los ciberdelincuentes seguirán centrando sus esfuerzos en la identidad de los usuarios. El phishing de credenciales mediante ataques AiTM se perfila como el nuevo estándar dentro del cibercrimen.

Para mitigar estos riesgos, Proofpoint recomienda implementar soluciones de seguridad del correo electrónico que bloqueen y monitoricen amenazas, seguridad en la nube para detectar accesos no autorizados, remediación automática para reducir el tiempo de permanencia de los atacantes, seguridad web para aislar sesiones maliciosas, formación en concienciación sobre seguridad para los usuarios de Microsoft 365, y considerar el uso de llaves físicas de seguridad basadas en FIDO, estándar de autenticación que permite iniciar sesión sin contraseñas mediante dispositivos como llaves USB o biometría.