Ataques AiTM para burlar la autenticación multifactor

En una especie de juego de ingenio, cada vez que los desarrolladores de ciberseguridad mejoran las capacidades defensivas, los atacantes buscan maneras de esquivar las nuevas barreras. La autenticación multifactor mejora considerablemente la postura defensiva de una organización, pero no evitan que los ciberatacantes se infiltren en los sistemas si crean amenazas como la detectada por Proofpoint.

En la ciberamenaza identificado por la compañía, se utilizan kits de phishing de ataque de intermediario (AiTM, del inglés Adversary in the middle), en un esquema híbrido que abarca email y nube y en el que “se utilizan aplicaciones falsas de Microsoft OAuth, como SharePoint, Adobe y DocuSign, para eludir la autenticación multifactor (MFA) y comprometer cuentas de Microsoft 365”.

Con esta técnica, los atacantes han sido capaces de recopilar información, realizar movimientos laterales para aumentar sus privilegios de acceso o instalar malware, entre otras cosas. Solo desde inicios de 2025, Proofpoint ha constatado más de 50 aplicaciones suplantadas y cerca de 3.000 intentos de compromiso de cuentas en más de 900 entornos de Microsoft 365. La tasa de éxito confirmada de los intentos es superior al 50%.

Al parecer, la actualización de la configuración predeterminada que anunció Microsoft en junio y se completará en agosto, tendrá un “impacto positivo en el panorama general de amenazas” que utilizan esta técnica. La clave está en “el bloqueo de los protocolos de autenticación heredados y la exigencia del consentimiento del administrador para el acceso a aplicaciones de terceros”.