Las apps OAuth maliciosas no solo permiten robar credenciales, también aseguran acceso persistente en entornos cloud a los ciberdelincuentes

Los investigadores de amenazas de Proofpoint, empresa líder en ciberseguridad y cumplimiento normativo, han descubierto una táctica de uso creciente entre los ciberdelincuentes en la que a través de aplicaciones OAuth mantienen su acceso a largo plazo en entornos cloud, incluso después de que se restablezcan las credenciales o se aplique la autenticación multifactor, eludiendo las defensas tradicionales.

Estos ataques permiten a los ciberdelincuentes secuestrar cuentas de usuario, realizar reconocimientos, exfiltrar datos y lanzar actividades maliciosas adicionales. El valor estratégico radica en su mecanismo de persistencia: incluso si se restablecen las credenciales del usuario comprometido o se aplica la autenticación multifactor, las apps OAuth maliciosas mantienen su acceso autorizado. Esto crea una puerta trasera resiliente que permanecería indetectable en el entorno de forma indefinida, salvo que se identifique y remedie específicamente.

Según los investigadores de Proofpoint, en los entornos cloud es fundamental comprender la diferencia entre las aplicaciones de segundo partido y de terceros. Las primeras, conocidas como aplicaciones internas, se registran directamente dentro del tenant de una organización y suelen ser creadas y gestionadas por administradores o usuarios con privilegios avanzados. Por el contrario, las aplicaciones de terceros se registran en tenants externos y solicitan acceso a recursos alojados en otras organizaciones. Los ciberdelincuentes prefieren crear aplicaciones de segundo partido en las fases posteriores a la explotación, ya que resultan más difíciles de detectar y pueden eludir los controles de seguridad para supervisar aplicaciones externas.

“Los ataques de toma de control de cuentas en la nube se han convertido en una preocupación significativa en los últimos años, puesto que los ciberdelincuentes están adoptando cada vez más aplicaciones OAuth maliciosas como medio para obtener acceso persistente en entornos comprometidos”, señalan los investigadores de Proofpoint. “Una vez que entran en una cuenta cloud, pueden crear y autorizar aplicaciones internas con permisos y alcances definidos para maximizar el impacto de este acceso a recursos críticos, como buzones de correo o archivos”.

Ante la detección de una posible aplicación maliciosa en el entorno, los expertos de Proofpoint instan a actuar de inmediato. Se recomienda revocar los secretos de cliente y los tokens de usuario, eliminar la aplicación y sus permisos asociados, e implementar una supervisión continua que permita detectar y mitigar accesos persistentes. Además, es clave capacitar a los usuarios para que reconozcan apps sospechosas, desconfíen de solicitudes de consentimiento inesperadas y reporten cualquier autorización inusual.