Al menos dos grupos de ciberdelincuentes están utilizando una novedosa técnica
de evasión llamada suplantación de ID de cliente OAuth en campañas en la nube,
eludiendo la telemetría.
Esta actividad permite a los usuarios enumerar cuentas de usuario y validar
credenciales robadas en entornos Microsoft Entra ID, sin generar un inicio
de sesión exitoso que alertaría a los sistemas de seguridad.
Los ciberdelincuentes han comenzado a explotar esta vulnerabilidad para
obtener acceso no autorizado a los servicios en la nube de las organizaciones.
«Un punto ciego en la telemetría de inicio de sesión en la nube: Entra ID
devuelve diferentes respuestas de error según la validez del ID de cliente
OAuth proporcionado», declaró Proofpoint.
«Los atacantes aprovechan esto para inferir nombres de usuario y
contraseñas válidas a gran escala, comprobando así listas de credenciales
robadas sin registrar un inicio de sesión exitoso».
En otras palabras, los ataques utilizan el ID de cliente OAuth, un
identificador único global (GUID) asignado a las aplicaciones al solicitar
acceso a los datos de usuario, que se transmite como
«client_id» en las solicitudes de autenticación. Al proporcionar identificadores de
cliente falsificados, permite la enumeración de cuentas sin una aplicación
OAuth registrada y permite a los atacantes inferir la validez de la contraseña
y la cuenta sin generar un inicio de sesión exitoso.
«Los registros de
inicio de sesión de Entra
son una fuente principal de telemetría para identificar actividades de
autenticación maliciosas, incluyendo la enumeración de usuarios, el ataque
de fuerza bruta contra contraseñas y los intentos de acceso iniciales»,
afirmó Rachel Rabin, investigadora de Proofpoint.
Se ha observado que grupos de amenazas como
UNK_CustomCloak
falsifican cadenas de agente de usuario para orquestar campañas de fuerza
bruta dirigidas a entornos de Microsoft Entra ID, explotando una aplicación
obsoleta de Microsoft llamada Windows Live Custom Domains para eludir las
restricciones de inicio de sesión estándar y sondear las contraseñas de los
usuarios en más de 4.000 inquilinos.
Sin embargo, los últimos esfuerzos representan una evolución de esta técnica
al falsificar los identificadores de cliente de OAuth mediante solicitudes
HTTP POST al punto final de token OAuth 2.0 de Microsoft utilizando el flujo
de Credenciales de Contraseña del Propietario del Recurso (ROPC). En concreto, esto implica proporcionar un ID de cliente sintácticamente
válido, pero que no corresponde a una aplicación real.
En estos casos, solo se registra el ID de la aplicación en el registro de
inicio de sesión de Entra, sin el nombre de la aplicación correspondiente. La
respuesta, que contiene un código de error del Servicio de tokens de seguridad
de Azure Active Directory (AADSTS), puede utilizarse para deducir si la cuenta existe y si la contraseña es
correcta, incluso sin una aplicación registrada.
«Si el ID de cliente falsificado no es un UUIDv4 válido, Entra no rechaza
la solicitud directamente», explicó Proofpoint.
«Por lo tanto, los atacantes pueden analizar esta respuesta de error para
identificar cuentas y contraseñas válidas, a pesar de utilizar ID de cliente
mal formados. Cuando se utiliza un ID de cliente falsificado, no se
registra el nombre de la aplicación correspondiente en el registro de inicio
de sesión. Esto significa que las detecciones que buscan picos de actividad
asociados a un nombre de aplicación específico pueden pasar por alto esta
actividad por completo, ya que el campo aparece en blanco».
Con esta información, los atacantes podrían identificar cuentas susceptibles
de ser explotadas para obtener acceso sigiloso, dificultando a los defensores
la detección de actividades sospechosas.
Proofpoint ha identificado dos grandes campañas que adoptaron esta técnica de
forma independiente a finales de diciembre de 2025, lo que indica que este
método se está incorporando cada vez más a las tácticas de los atacantes, en
lugar de ser un incidente aislado:
-
UNK_pyreq2323 (de enero a marzo de 2026), que utilizó más de 700.000
ID de cliente falsificados de la infraestructura de Amazon Web Services
(AWS) para atacar a más de un millón de cuentas en casi 4.000 clientes,
provocando el bloqueo de aproximadamente el 28% de los usuarios afectados
debido a intentos fallidos. -
UNK_OutFlareAZ (a partir de diciembre de 2025), que aprovechó la
infraestructura de Cloudflare para atacar a más de dos millones de usuarios
con 3,7 millones de ID de aplicación falsificados generados aleatoriamente.
Se ha observado que ambas campañas utilizan UUID válidos en lugar de
identificadores mal formados y demuestran patrones que coinciden con listas
de nombres de usuario precompiladas. Sin embargo, mientras que
UNK_OutFlareAZ enumeraba a los usuarios alfabéticamente, UNK_pyreq2323 no lo
hacía. Otra diferencia radicaba en cómo se falsificaban los ID de cliente.
Se dice que UNK_pyreq2323 modificaba los últimos dígitos de un ID de
aplicación conocido y luego reutilizaba los ID falsificados para hasta 12
usuarios. En cambio, UNK_OutFlareAZ generaba un ID de cliente único por
solicitud.
«Al fragmentar los intentos de autenticación en múltiples aplicaciones
ficticias, la actividad se vuelve más difícil de correlacionar y puede eludir
las detecciones y limitaciones de velocidad por aplicación. Las organizaciones
pueden intentar mitigar los ataques de enumeración tradicionales aplicando
políticas de acceso condicional (CA) dirigidas a las aplicaciones que suelen
ser objetivo de la enumeración. Los ID de cliente falsificados no activarán
las políticas CA dirigidas a una aplicación específica.
Fuente:
THN

