Los ataques de phishing han mutado. Ahora no necesitan robar tu contraseña ni sortear el MFA. Los ciberdelincuentes explotan el protocolo OAuth para engañarte y que autorices una aplicación maliciosa. Al hacerlo, cedes el acceso a tus datos sin saberlo, y el MFA no se activa porque el proceso de consentimiento está fuera de la autenticación tradicional. En foro3d.com te explicamos cómo funciona esta amenaza silenciosa.
El mecanismo técnico detrás del ataque OAuth 🛡️
El ataque comienza con un enlace que simula ser de un servicio legítimo, como Google o Microsoft. Al hacer clic, la víctima es redirigida a la pantalla de consentimiento de OAuth, donde se solicita permiso para acceder a correos, contactos o archivos. El usuario, confiado, acepta. El atacante recibe un token de acceso que le permite interactuar con la API del servicio sin necesidad de credenciales. El MFA, diseñado para proteger el inicio de sesión, no interviene aquí porque el token ya fue concedido. La defensa depende de revisar cada permiso solicitado.
El consentimiento: la nueva puerta giratoria de la seguridad 🚪
Resulta que después de años configurando MFA y usando contraseñas complejas, el eslabón débil sigue siendo nuestro entusiasmo por hacer clic en todo lo que brilla. Ahora, en lugar de robarte la clave, te piden permiso con un formulario bonito y tú, cual anfitrión generoso, les abres la puerta de par en par. Total, para qué robar si puedes pedir las llaves educadamente. La ironía es que el MFA se queda tan tranquilo, como un portero al que le dijeron que hoy no trabaja.