Una nueva oleada de ataques combina vishing con abuso de SSO para extorsionar plataformas SaaS. Los ciberdelincuentes llaman a empleados, suplantan al soporte técnico y obtienen códigos MFA en segundos. Con el acceso al SSO, escalan privilegios y se mueven lateralmente, dejando a las empresas sin tiempo para reaccionar.
Cómo funciona la ingeniería social sobre SSO federado 🛡️
El ataque explota la confianza en los flujos de autenticación federados. El vishing engaña al usuario para que revele su contraseña y el código de la app MFA. Al ingresar al SSO, el atacante obtiene un token de sesión válido. Desde ahí, usa APIs internas para crear cuentas de administrador en aplicaciones SaaS como Slack o Salesforce, sin activar alertas de inicio de sesión sospechoso.
El empleado del año: el que da su MFA por teléfono 📞
Lo curioso es que las empresas gastan fortunas en firewalls y luego un empleado entrega su código de dos factores porque el de seguridad sonaba muy profesional. El atacante solo necesita un guión y paciencia. Mientras tanto, el CISO revisa logs pensando que es un fallo técnico. El verdadero firewall era no contestar llamadas de números desconocidos.