Los hackers no dejan de innovar cuando se trata de engañar a la gente, y su última jugada es realmente preocupante: están creando páginas falsas de inicio de sesión de Microsoft ADFS (Servicios de federación de Microsoft Active Directory) para robar credenciales y eludir las protecciones de autenticación multifactor (MFA).
Según los investigadores de Abnormal Security, esta campaña de phishing está dirigida principalmente a organizaciones educativas, sanitarias y gubernamentales, con al menos 150 objetivos identificados. El objetivo de los atacantes es claro: obtener acceso a cuentas de correo electrónico corporativas para enviar más correos maliciosos dentro de la empresa o llevar a cabo fraudes financieros, como el compromiso del correo electrónico empresarial (BEC), donde los pagos se desvían a cuentas controladas por los hackers.
El problema es serio porque no solo pueden robar una cuenta individual, sino que, si logran entrar, pueden moverse dentro de toda la organización, acceder a información sensible y causar estragos en cuestión de minutos.
Si en tu empresa usan Microsoft ADFS o simplemente quieres aprender a protegerte de este tipo de ataques, sigue leyendo. Te vamos a contar cómo operan los hackers, cómo detectar estas estafas y, lo más importante, qué hacer para no caer en la trampa.
Microsoft Active Directory Federation Services (ADFS) es una herramienta que muchas empresas usan para que sus trabajadores inicien sesión una sola vez y accedan a múltiples aplicaciones sin tener que escribir su usuario y contraseña cada vez. Básicamente, hace que el acceso a los sistemas sea más fácil y seguro.
El problema es que los hackers lo saben y han encontrado la manera de aprovecharse de ello. ¿Cómo? Enviando correos falsos que parecen venir del equipo de TI de la empresa, donde piden a los trabajadores que "verifiquen" su cuenta, actualicen la seguridad o acepten nuevas políticas.
El truco está en que el enlace que incluyen no lleva al sitio real, sino a una página falsa que luce idéntica a la de Microsoft ADFS. Una vez que la víctima introduce sus credenciales, los atacantes las roban y pueden usarlas para entrar en los sistemas de la empresa, accediendo a información sensible o incluso ejecutando fraudes financieros.
Ejemplo de un correo electrónico de phishing utilizado en los ataques (Fuente: Abnormal Security)
Ahí, le piden que ingrese su usuario, contraseña y hasta el código de autenticación multifactor (MFA). En algunos casos, los atacantes incluso logran engañarla para que apruebe una notificación de acceso en su teléfono sin sospechar nada.
Una vez que los hackers tienen esos datos, básicamente pueden entrar a la cuenta como si fueran el usuario real, esquivando todas las protecciones de seguridad.
Podría interesarte leer: ¿Qué hacer si recibes un correo electrónico fraudulento?
Portales de ADFS falsificados
Los hackers han diseñado estas páginas falsas para no solo robar usuarios y contraseñas, sino también capturar el segundo factor de autenticación (MFA) que la empresa tenga configurado. Dependiendo del método de seguridad que use la organización, los atacantes ajustan sus tácticas para interceptar códigos de Microsoft Authenticator, Duo Security o mensajes de verificación por SMS. Esto les permite eludir las capas de seguridad adicionales y acceder a las cuentas como si fueran el usuario legítimo, aumentando el riesgo de un ataque exitoso.
Dos ejemplos de pantallas diseñadas para eludir la autenticación MFA.
Podría interesarte leer: Detección de Ataques de Phishing con Wazuh
Una vez que la víctima ingresa sus datos en la página falsa, la redirigen automáticamente al sitio real de Microsoft ADFS. ¿Por qué? Para que todo parezca normal y no sospeche que acaba de entregar sus credenciales a los atacantes.
Mientras tanto, los hackers actúan rápido: entran a la cuenta robada, buscan datos sensibles, crean reglas para filtrar correos electrónicos e incluso intentan engañar a otros trabajadores enviando más correos fraudulentos desde esa misma cuenta (lo que se conoce como phishing lateral).
Para cubrir sus huellas, utilizan servicios de VPN como Private Internet Access, que les permite ocultar su ubicación y simular que están accediendo desde un lugar cercano a la organización, evitando levantar sospechas.
Aunque estos ataques no comprometen directamente Microsoft ADFS, funcionan gracias a la ingeniería social, aprovechándose de la confianza que los empleados tienen en los sistemas de inicio de sesión que usan a diario.
Para evitar este tipo de fraudes, se recomienda que las empresas migren a soluciones más seguras como Microsoft Entra, implementen monitoreo avanzado para detectar actividad sospechosa y reforzar la seguridad del correo electrónico con filtros efectivos.
En este sentido, herramientas como TecnetProtect, una solución de ciberseguridad y backups, ofrece características avanzadas de protección contra amenazas en correos electrónicos, bloqueando mensajes maliciosos antes de que lleguen a los trabajadores. Contar con este tipo de soluciones reduce significativamente las posibilidades de que un ataque de phishing tenga éxito. La combinación de tecnología robusta y trabajadores bien informados es la mejor defensa contra las amenazas cibernéticas.