Security

Phishing con redirección OAuth en Entra ID: alerta

3 min de lectura

Resumen

Microsoft alertó sobre una técnica de phishing que abusa de redirecciones OAuth “por diseño” en Microsoft Entra ID para llevar a usuarios desde páginas legítimas de inicio de sesión a sitios controlados por atacantes. Importa porque aprovecha la confianza en dominios conocidos y flujos silenciosos para evadir controles de seguridad, facilitando robo de credenciales y distribución de malware, con impacto especial en organizaciones gubernamentales y del sector público.

Resumen de audio

0:00--:--
¿Necesita ayuda con Security?Hablar con un experto

Introduction: why this matters

Los enlaces OAuth hacia proveedores de identidad (IdPs) conocidos como Microsoft Entra ID suelen ser confiables para los usuarios y, en algunos casos, reciben un trato más permisivo por parte de los controles de seguridad. La investigación más reciente de Microsoft destaca un comportamiento de redirección OAuth “por diseño” que está siendo abusado para enviar a los usuarios desde dominios legítimos de inicio de sesión hacia infraestructura de atacantes, habilitando phishing y entrega de malware mientras aparenta ser un flujo normal de inicio de sesión.

Esto es especialmente relevante para administradores de TI en organizaciones gubernamentales y del sector público, que fueron objetivo específico en la actividad observada.

What’s new / key findings

El Microsoft Defender Security Research Team observó explotación, iniciada por phishing, de mecánicas de redirección OAuth a través de señales de correo electrónico, identidad y endpoint:

  • Abuse of silent OAuth flows: Los atacantes crean URLs de autorización OAuth usando parámetros como prompt=none para intentar una comprobación de autenticación silenciosa (sin UI).
  • Intentionally invalid scopes to force an error path: Las solicitudes incluyen scope=<invalid_scope> (u otros disparadores de fallo) para generar de forma confiable un error OAuth.
  • Error-driven redirect to attacker-controlled URI: Cuando el IdP devuelve un error (por ejemplo, interaction_required), el navegador es redirigido al redirect URI registrado de la app, que el atacante configura para apuntar a páginas de phishing o sitios de descarga de malware.
  • No token theft required for the redirect: El atacante no necesariamente intenta completar OAuth con éxito; la redirección es el objetivo principal.
  • State parameter misuse for personalization: El parámetro state—destinado a la correlación solicitud/respuesta—se reutilizó para pasar la dirección de correo de la víctima (texto plano, hex, Base64 o codificación personalizada) de modo que las páginas de phishing puedan autocompletar identificadores.
  • Campaign delivery patterns: Los señuelos de phishing incluyeron solicitudes de firma electrónica, temas financieros/de seguridad social, uso compartido de documentos, contenido de Teams/reuniones y avisos de restablecimiento de contraseña. Algunos usaron adjuntos PDF con enlaces incrustados e incluso invitaciones de calendario .ics.
  • Downstream tooling: Las páginas posteriores a la redirección usaron con frecuencia frameworks de phishing como EvilProxy (attacker-in-the-middle) diseñados para capturar credenciales y cookies de sesión, a veces agregando pasos de CAPTCHA/intersticial.

Impact on IT administrators and end users

  • Higher click-through risk: Los enlaces comienzan en dominios confiables del IdP (por ejemplo, login.microsoftonline.com), lo que aumenta la confianza del usuario.
  • Defense bypass pressure: Las comprobaciones tradicionales de reputación de URL pueden centrarse en el dominio inicial y pasar por alto el destino final.
  • Visibility needs across layers: Microsoft indica que Defender correlacionó señales a través de email, identity, and endpoint, destacando que la detección con un solo control puede ser insuficiente.
  • Ongoing threat: Microsoft Entra deshabilitó las aplicaciones OAuth maliciosas observadas, pero la actividad relacionada persiste; sigue siendo necesario monitorear.

Action items / next steps

  1. Hunt for suspicious OAuth authorize patterns en logs y telemetría de proxy, especialmente:
    • prompt=none combinado con valores inusuales/inválidos de scope
    • Fallos de OAuth frecuentes seguidos de redirecciones hacia dominios no corporativos
    • Uso de /common/ en contextos inesperados de phishing de alto volumen
  2. Review and restrict app consent and app registrations:
    • Auditar apps creadas recientemente y redirect URIs para detectar dominios no confiables
    • Endurecer quién puede registrar aplicaciones/modificar redirect URIs en Entra ID
  3. Strengthen phishing protections beyond “trusted domain” checks:
    • Asegurar que las herramientas de detonación de URL/safe-link sigan las redirecciones
    • Educar a los usuarios: “empieza en Microsoft sign-in” no garantiza seguridad
  4. Validate Conditional Access and session controls:
    • Monitorear telemetría de inicio de sesión y errores de OAuth para detectar anomalías y grupos de usuarios objetivo
  5. Use Defender correlation:
    • Aprovechar Microsoft Defender for Office 365 + Defender for Identity/Endpoint para correlacionar el señuelo por correo, el comportamiento de inicio de sesión y la actividad de payload en el endpoint.

¿Necesita ayuda con Security?

Nuestros expertos pueden ayudarle a implementar y optimizar sus soluciones Microsoft.

Hablar con un experto

Manténgase actualizado sobre tecnologías Microsoft

Leer el artículo original de Microsoft Defender Security Research Team
OAuthMicrosoft Entra IDphishingMicrosoft Defenderidentity security

Artículos relacionados

Security

Compromiso de la cadena de suministro de Trivy

Microsoft ha publicado orientación de detección, investigación y mitigación sobre el compromiso de la cadena de suministro de Trivy de marzo de 2026, que afectó al binario de Trivy y a GitHub Actions relacionados. El incidente es importante porque convirtió una herramienta de seguridad de CI/CD de confianza en un arma para robar credenciales de pipelines de compilación, entornos en la nube y sistemas de desarrolladores mientras aparentaba ejecutarse con normalidad.

Security

Gobernanza de agentes de AI para alinear la intención

Microsoft describe un modelo de gobernanza para agentes de AI que alinea la intención del usuario, del desarrollador, basada en roles y organizacional. El marco ayuda a las empresas a mantener los agentes útiles, seguros y en cumplimiento al definir límites de comportamiento y un orden claro de prioridad cuando surgen conflictos.

Security

Microsoft Defender predictive shielding frena ransomware GPO

Microsoft detalló un caso real de ransomware en el que predictive shielding de Defender detectó el abuso malicioso de Group Policy Object antes de que comenzara el cifrado. Al reforzar la propagación de GPO e interrumpir cuentas comprometidas, Defender bloqueó alrededor del 97 % de la actividad de cifrado intentada y evitó que cualquier dispositivo fuera cifrado mediante la ruta de entrega por GPO.

Security

Seguridad para Agentic AI de Microsoft en RSAC 2026

En RSAC 2026, Microsoft presentó una estrategia integral para asegurar la adopción empresarial de Agentic AI, con el anuncio de la disponibilidad general de Agent 365 el 1 de mayo como plano de control para gobernar, proteger y supervisar agentes de AI a escala. La noticia importa porque refuerza la visibilidad y gestión del riesgo de AI en toda la empresa mediante herramientas como Security Dashboard for AI y Shadow AI Detection, ayudando a reducir la sobreexposición de datos, controlar accesos y responder a nuevas amenazas.

Security

Microsoft lanza CTI-REALM open source para detección AI

Microsoft ha presentado CTI-REALM, un benchmark open source que evalúa si los agentes de IA pueden crear y validar detecciones de seguridad de extremo a extremo a partir de informes reales de inteligencia de amenazas, en lugar de limitarse a responder preguntas teóricas. Esto importa porque ofrece a los equipos SOC una forma más práctica de medir el valor operativo de la IA en ingeniería de detección, incluyendo pasos clave como mapeo MITRE ATT&CK, consultas KQL y reglas Sigma en entornos Linux, AKS y Azure.

Security

Zero Trust for AI de Microsoft: taller y arquitectura

Microsoft presentó Zero Trust for AI (ZT4AI), una guía y arquitectura que adapta los principios de Zero Trust a entornos de IA para proteger modelos, agentes, datos y decisiones automatizadas frente a riesgos como prompt injection y data poisoning. Además, actualizó su Zero Trust Workshop con un nuevo pilar de IA y cientos de controles, lo que importa porque da a los equipos de seguridad y TI un marco práctico para evaluar riesgos, coordinar áreas de negocio y desplegar controles de seguridad de IA de forma más estructurada.