(https://i.imgur.com/5tnvoOw.png)
Una sofisticada campaña de vishing (phishing por voz) está poniendo en riesgo a organizaciones de múltiples sectores al aprovechar una nueva funcionalidad de Microsoft Entra para engañar a empleados y obtener acceso a sus cuentas de Microsoft 365. Los atacantes utilizan llamadas telefónicas, sitios web de phishing altamente convincentes y técnicas de ingeniería social en tiempo real para registrar claves de acceso (Passkeys) bajo su propio control, permitiéndoles acceder posteriormente a las cuentas comprometidas.
La campaña, activa desde abril de 2026, ha sido analizada por la empresa especializada en gestión de identidad y acceso Okta, que atribuye la actividad al actor de amenazas O-UNC-066, identificado como parte de la operación de extorsión Pink. Según los investigadores, esta amenaza representa una evolución significativa de los ataques de ingeniería social, ya que explota funciones legítimas de Microsoft diseñadas para mejorar la seguridad de los usuarios.
Los atacantes aprovechan una nueva función de Microsoft EntraEn mayo de 2026, Microsoft habilitó una nueva característica para los administradores denominada campañas de registro de claves de acceso, cuyo objetivo es facilitar la adopción de las Passkeys como método de autenticación más seguro frente a las contraseñas tradicionales.
Esta funcionalidad permite que las organizaciones inviten a sus usuarios a registrar nuevas claves de acceso de forma controlada y segura. Sin embargo, los ciberdelincuentes han encontrado la forma de utilizar este mismo concepto como parte de una campaña de fraude altamente elaborada.
Los atacantes contactan telefónicamente con empleados haciéndose pasar por personal del departamento de TI o del equipo de seguridad de la empresa. Durante la llamada informan a la víctima de una supuesta actualización de seguridad obligatoria y le indican que debe registrar una nueva clave de acceso para mantener protegida su cuenta corporativa de Microsoft 365.
La aparente legitimidad del proceso hace que muchas víctimas bajen la guardia y sigan las instrucciones proporcionadas por el falso técnico.
Sitios de phishing que imitan perfectamente Microsoft EntraComo parte del ataque, la víctima recibe un enlace hacia un sitio web fraudulento cuidadosamente diseñado para imitar el portal oficial de inscripción de claves de acceso de Microsoft Entra.
Los dominios utilizados suelen incluir la palabra "passkey" o "key", además de incorporar elementos visuales propios de la organización objetivo, como logotipos corporativos y colores institucionales, aumentando considerablemente la credibilidad del engaño.
A diferencia de los ataques tradicionales de Adversary-in-the-Middle (AiTM), donde un proxy intercepta la autenticación del usuario, esta campaña emplea un enfoque mucho más dinámico y personalizado.
Un panel PHP permite controlar el ataque en tiempo realSegún el informe de Okta, el kit de phishing utilizado por O-UNC-066 consiste en un panel PHP controlado directamente por el operador, que permite adaptar el ataque conforme avanza la interacción con la víctima.
El sistema mantiene una comunicación constante mediante un mecanismo de sondeo cada segundo, permitiendo al atacante observar el progreso del usuario prácticamente en tiempo real.
Esta capacidad le permite modificar el flujo del ataque dependiendo del método de autenticación multifactor (MFA) utilizado por cada organización.
Entre los métodos compatibles con el kit de phishing se encuentran:
- Códigos TOTP generados por aplicaciones autenticadoras.
- Notificaciones Push con coincidencia numérica.
- Códigos OTP enviados mediante SMS.
- Otros mecanismos de autenticación implementados en Microsoft Entra.
Gracias a esta flexibilidad, el atacante puede guiar verbalmente a la víctima durante todo el proceso mientras recibe instantáneamente las credenciales y códigos de autenticación necesarios para acceder a la cuenta.
El verdadero objetivo: registrar una Passkey controlada por el atacanteLa parte más peligrosa del ataque ocurre una vez que el ciberdelincuente consigue autenticarse utilizando las credenciales y el segundo factor proporcionados por la víctima.
Mientras el usuario cree estar registrando una nueva clave de acceso legítima para proteger su cuenta, en realidad el atacante está registrando una Passkey propia, vinculada completamente bajo su control.
Como consecuencia, el grupo obtiene un método de autenticación persistente que le permitirá acceder posteriormente a la cuenta sin necesidad de volver a engañar a la víctima ni solicitar nuevos códigos MFA.
Este aspecto convierte el ataque en especialmente preocupante, ya que incluso un cambio posterior de contraseña podría no eliminar inmediatamente el acceso del atacante si la clave de acceso maliciosa permanece registrada.
Las falsas frases de recuperación BIP-39 buscan aumentar la credibilidadTras completar el supuesto registro de la clave de acceso, el sitio fraudulento muestra pantallas adicionales con apariencia oficial de Microsoft.
Entre ellas aparece una supuesta frase de recuperación BIP-39, acompañada de instrucciones para guardarla cuidadosamente y confirmar posteriormente determinadas palabras.
Sin embargo, Okta destaca que las frases semilla BIP-39 no forman parte del proceso legítimo de registro de claves de acceso de Microsoft Entra.
Su inclusión parece tener un único objetivo: reforzar la sensación de autenticidad y distraer a usuarios que desconocen el funcionamiento real de las Passkeys.
Este detalle demuestra el elevado nivel de preparación del kit de phishing y el profundo conocimiento que poseen los atacantes sobre los procesos de autenticación modernos.
El grupo Pink amplía sus operaciones de extorsiónLa campaña ha sido atribuida al actor O-UNC-066, vinculado a la operación de extorsión conocida como Pink.
De acuerdo con los investigadores de Unit 42 de Palo Alto Networks, Pink constituye una nueva marca criminal asociada a The Com (The Community), una red descentralizada formada por diversos grupos especializados en robo de credenciales, ingeniería social y extorsión.
El grupo se caracteriza por utilizar técnicas de:
- Vishing.
- Suplantación de personal de soporte técnico.
- Robo de credenciales corporativas.
- Captura de códigos MFA.
- Compromiso de cuentas Microsoft 365.
- Robo de información empresarial.
Una vez que obtienen acceso a la cuenta comprometida, los operadores actúan con rapidez para recopilar información sensible almacenada en servicios como SharePoint y OneDrive, donde habitualmente residen documentos internos, proyectos, contratos, información financiera y propiedad intelectual.
Pink utiliza la extorsión como modelo de negocioLos investigadores indican que Pink lanzó oficialmente su portal de extorsión el 31 de mayo de 2026.
En este sitio publican muestras de la información robada a las organizaciones comprometidas con el objetivo de presionar a las víctimas para que paguen un rescate económico a cambio de evitar la filtración completa de los datos.
Este modelo combina el robo de información con la presión pública, una estrategia que continúa siendo ampliamente utilizada por numerosos grupos de ciberdelincuencia.
Además, el investigador de amenazas Brad Duncan, de Unit 42, ya había detectado a comienzos de junio varios dominios de phishing empleados por Pink que incluían expresamente el término "passkey", confirmando la relación entre la campaña y el nuevo método de ataque.
Sectores afectados por la campañaSegún Okta, los ataques no se limitan a un único sector económico.
Hasta el momento se han identificado organizaciones objetivo pertenecientes a:
- Alimentación y bebidas.
- Tecnología.
- Sanidad.
- Automoción.
- Construcción.
- Aviación.
La diversidad de sectores demuestra que los atacantes buscan maximizar el número de víctimas potenciales en lugar de centrarse exclusivamente en objetivos altamente especializados.
Cómo proteger a los usuarios frente a este tipo de ataquesLa sofisticación de esta campaña confirma que las soluciones tecnológicas por sí solas no son suficientes para detener ataques basados en ingeniería social.
Okta recomienda a las organizaciones reforzar tanto los procedimientos internos como la formación de los empleados.
Entre las principales medidas de protección destacan:
- Verificar siempre la identidad del personal de soporte antes de seguir cualquier instrucción telefónica.
- Establecer canales oficiales para las solicitudes relacionadas con autenticación o cambios de seguridad.
- Bloquear o supervisar cuidadosamente solicitudes procedentes de ubicaciones donde la organización no opera.
- Formar periódicamente a los empleados sobre campañas de vishing y phishing avanzado.
- Revisar regularmente las claves de acceso registradas en Microsoft Entra para detectar dispositivos desconocidos.
- Monitorizar accesos inusuales a Microsoft 365, SharePoint y OneDrive mediante soluciones de detección y respuesta.
La ingeniería social evoluciona al ritmo de las nuevas tecnologíasEsta campaña demuestra que los grupos de ciberdelincuencia adaptan rápidamente sus tácticas a las nuevas funciones incorporadas por los proveedores tecnológicos. En este caso, una característica diseñada para mejorar la seguridad de los usuarios mediante Passkeys ha sido reutilizada como elemento central de una operación de ingeniería social altamente sofisticada.
La combinación de llamadas telefónicas, interacción humana en tiempo real, sitios web cuidadosamente diseñados y el registro fraudulento de claves de acceso convierte esta amenaza en una de las campañas de vishing contra Microsoft 365 más avanzadas observadas hasta la fecha. Para las organizaciones, la mejor defensa continúa siendo una estrategia integral que combine autenticación robusta, monitorización continua, procedimientos claros de verificación de identidad y una formación constante de los usuarios frente a las tácticas de manipulación empleadas por los ciberdelincuentes.
Fuente: https://www.bleepingcomputer.com/