Luca Galuppi : 23 octubre 2025 07:15
Una nueva ola de engaños digitales ha afectado al ecosistema de Microsoft Azure , donde vulnerabilidades recién descubiertas han permitido a los ciberdelincuentes crear aplicaciones maliciosas que imitan a la perfección servicios oficiales como Microsoft Teams o el Portal de Azure . Estas aplicaciones «falsas» son idénticas a las originales y capaces de engañar incluso a usuarios experimentados.
El descubrimiento, realizado por investigadores de Varonis , reveló que las medidas de seguridad de Azure diseñadas para bloquear nombres sensibles podían eludirse mediante caracteres Unicode invisibles. Al insertar caracteres como el «Combining Grapheme Joiner» (U+034F) entre letras, como en «Az͏u͏r͏e͏ ͏P͏o͏r͏t͏a͏l» , los atacantes pudieron registrar aplicaciones que parecían legítimas, pero que el sistema interpretó como diferentes. Este engañoso truco, que funcionaba con más de 260 caracteres Unicode, permitió la creación de aplicaciones «clonadas» con nombres sensibles, como Power BI o OneDrive SyncEngine .
La verdadera fuerza de este ataque residía en su engaño visual: las páginas de consentimiento de las aplicaciones falsas parecían auténticas, a menudo acompañadas de iconos y logotipos de Microsoft. De hecho, muchas aplicaciones no mostraban ninguna insignia de verificación, y los usuarios, al ver nombres familiares, acababan ignorando las advertencias de «no verificado» y otorgando permisos completos.
A partir de ahí, comenzó la segunda fase: correos electrónicos de phishing cuidadosamente elaborados dirigían a las víctimas a páginas de consentimiento falsificadas, donde con solo hacer clic en «Aceptar» se obtenían tokens de acceso válidos sin necesidad de introducir una contraseña. En otros casos, los atacantes utilizaban el llamado phishing de código de acceso del dispositivo, generando un código de verificación legítimo para una aplicación maliciosa y convenciendo a la víctima de introducirlo en un portal aparentemente seguro. En cuestión de segundos, la sesión era pirateada.
Quienes trabajan en entornos de Microsoft 365 conocen el poder de los consentimientos de aplicación y delegados: los primeros permiten que una aplicación actúe en nombre del usuario, mientras que los segundos otorgan acceso autónomo a los recursos. En las manos equivocadas, estos permisos se convierten en herramientas para el acceso inicial, la persistencia y la escalada de privilegios, lo que facilita ataques a gran escala.
Tras el informe, Microsoft corrigió el error de omisión de Unicode en abril de 2025 y cerró otras variantes en octubre de 2025. Los parches se distribuyeron automáticamente, sin necesidad de intervención directa de los clientes. Sin embargo, los investigadores de Varonis enfatizan que la supervisión del consentimiento, la aplicación del principio de mínimo privilegio y la capacitación de los usuarios siguen siendo esenciales para mitigar el riesgo.
Este episodio demuestra una vez más que la ingeniería social sigue siendo el arma más eficaz de los ciberdelincuentes. Los exploits complejos no son necesarios cuando una página de inicio de sesión perfectamente imitada y un nombre familiar bastan para convencer a alguien de hacer clic. En el mundo de la nube, la confianza puede ser un arma de doble filo: un consentimiento aparentemente inocuo puede abrir las puertas a todo el inquilino y comprometer gravemente la seguridad del entorno de Microsoft 365.
Los atacantes están explotando activamente una vulnerabilidad crítica en el sistema de protección de aplicaciones web (WAF) FortiWeb de Fortinet, que podría utilizarse como medio para realizar ata...
En uno de los foros más populares de Rusia para la compraventa de vulnerabilidades y herramientas de ataque, el hilo apareció como un anuncio comercial estándar, pero su contenido dista mucho de se...
A menudo hablamos del servicio de ransomware como servicio (RaaS) LockBit, recientemente renovado como LockBit 3.0, que sigue aportando innovaciones significativas al panorama del ransomware. Estas in...
En esta apasionante historia, viajaremos a 1959 al Club de Ferrocarriles en Miniatura del MIT Tech y conoceremos a Steve Russell. Steve fue uno de los primeros hackers y escribió uno de los primeros ...
El significado de » hacker » tiene profundas raíces. Proviene del inglés «to hack», que significa picar, cortar, golpear o mutilar. Es una imagen poderosa: la de un campesino rompiendo terrones ...
