Descubre Noticias de Ciberseguridad en nuestro TecnetBlog

Ataques en La Nube: Cómo Los Hackers Usan Azure para Ocultarse

Escrito por Levi Yoris | Oct 28, 2025 1:15:00 PM

El atractivo de la nube es indiscutible: flexibilidad, escalabilidad y acceso global. Pero esas mismas virtudes están siendo explotadas por los ciberdelincuentes. En los últimos meses, Microsoft ha detectado una campaña avanzada que usa la elasticidad de Azure para lanzar ataques distribuidos, ocultar rastros y escalar rápidamente dentro de entornos corporativos.

Este fenómeno, bautizado por expertos como Cloud Shadows, demuestra que incluso un solo error de configuración o una credencial comprometida puede desencadenar una serie de ataques masiva.

 

El lado oscuro de la elasticidad de la nube

 

La nube moderna es un ecosistema en constante cambio: múltiples servicios, contenedores, máquinas virtuales efímeras y permisos que se ajustan dinámicamente. Este dinamismo, aunque potencia la agilidad empresarial, también dificulta la supervisión y abre brechas invisibles.

Microsoft Defender detectó una campaña iniciada en junio de 2025, donde los atacantes aprovecharon esas características para infiltrarse en entornos Azure mal configurados o poco protegidos.

El ataque comenzó con la explotación de cuentas estudiantiles y de pago por uso (Pay-As-You-Go), las más vulnerables por carecer de medidas básicas como contraseñas seguras, autenticación multifactor (MFA) o monitoreo activo.

 

Cómo funciona el ataque

 

La técnica empleada no depende de malware sofisticado, sino de abusar de las propias herramientas de Azure.

Una vez que los atacantes obtenían acceso a una cuenta comprometida (por ataques de fuerza bruta o técnicas Adversary-in-the-Middle), creaban nuevos grupos de recursos y máquinas virtuales temporales que funcionaban solo durante unas horas.

Estas máquinas efímeras, al operar dentro del ecosistema legítimo de Azure, pasaban desapercibidas para los sistemas de seguridad tradicionales. Desde allí, los atacantes lanzaban ataques de password spraying (intentos masivos de inicio de sesión) contra miles de cuentas en distintos inquilinos de Azure.

“Su infraestructura era tan volátil que desaparecía antes de dejar rastro”, explican investigadores de Microsoft. “A simple vista, parecía tráfico legítimo”.

 

Conoce más: Seguridad en la Nube: Mejores Prácticas

 

El poder del camuflaje: ataques multitenant y multi-hop

 

Una de las claves del éxito de esta campaña fue su arquitectura multitenant y multi-hop:

 

  1. En el modo multi-hop, las máquinas comprometidas servían como trampolín para lanzar nuevos ataques desde IPs distintas, ocultando su origen.

  2. En el modo multitenant, los atacantes controlaban múltiples entornos de Azure, distribuyendo sus operaciones para resistir cierres o detecciones.

 

Así, cada cuenta comprometida se convertía en un punto de lanzamiento, y cada inquilino de Azure, en un nuevo frente de ataque.

 

De la infiltración al fraude: el verdadero objetivo

 

Con acceso asegurado, los atacantes usaban los recursos de Azure para enviar campañas masivas de spam, phishing y estafas financieras.

Utilizaban máquinas virtuales dentro de los entornos comprometidos para enviar millones de correos falsos desde direcciones aparentemente legítimas. En esos mensajes, los usuarios eran redirigidos a sitios fraudulentos (por ejemplo, a través de acortadores como rebrand.ly) que simulaban encuestas o descargas de aplicaciones.

Una de las tácticas más peligrosas fue la distribución de apps Android modificadas, como versiones falsas de WhatsApp (FM WhatsApp o Yo WhatsApp). Estas aplicaciones robaban contactos, archivos y mensajes, haciéndose pasar por legítimas al comunicarse con los servidores reales de WhatsApp.

Incluso se detectaron casos de sextorsión y chantaje digital, donde los atacantes usaban la información robada para amenazar a las víctimas.

 


Campaña de fraude y robo de contraseñas (Fuente: Microsoft)

 

 Persistencia en la nube: quedarse dentro, pase lo que pase

 

Los atacantes no se conformaron con acceder temporalmente. Su objetivo era mantener el control incluso si los administradores detectaban actividad anómala.

Para ello emplearon tres técnicas avanzadas:

 

Aplicaciones OAuth falsas

 

  1. Registraban apps con nombres como Azure-CLI-2025 o MyNewApp dentro del tenant comprometido.

  2. Estas aplicaciones contaban con permisos administrativos y generaban tokens de acceso para mantener la conexión aunque las credenciales originales fueran revocadas.

 

Manipulación de cuotas

 

  1. Enviaban solicitudes falsas a Microsoft para aumentar el número de núcleos de CPU disponibles, lo que les permitía desplegar más máquinas virtuales.

  2. Algunos de estos clusters de ataque llegaban a ejecutar más de 150 VMs simultáneamente.

 

Abuso de servicios de inteligencia artificial y almacenamiento

 

  1. Usaban los Azure Machine Learning Workspaces y los notebooks para ejecutar scripts maliciosos disfrazados de tareas de entrenamiento de IA.

  2. También explotaban Azure Blob Storage como canal de exfiltración de datos, aprovechando su accesibilidad global.

  3. En los Key Vaults de Azure almacenaban contraseñas y tokens robados, garantizando su persistencia a largo plazo.

 

El resultado era un ecosistema de ataque altamente automatizado, elástico y resiliente, prácticamente invisible dentro de un entorno legítimo.

 

También podría interesarte: Nube Pública vs. Nube Privada: Principales Diferencias

 

El alcance del daño

 

En solo unos días, una sola máquina atacante logró:

 

  1. Dirigirse a 1.9 millones de usuarios en todo el mundo.

  2. Comprometer más de 51,000 cuentas y 35 inquilinos de Azure.

  3. Desplegar 154 máquinas virtuales, 86 de ellas usadas para ataques de fuerza bruta.

  4. Generar 800,000 alertas falsas de seguridad (para saturar a los equipos defensivos).

  5. Enviar más de 2.6 millones de correos de spam y phishing.

 

Todo esto aprovechando infraestructura legítima de Microsoft Azure, lo que dificultó la detección por parte de los equipos de seguridad.

 

Abuso de cuotas, uso de servicios de aprendizaje automático y puertas traseras de OAuth (Fuente: Microsoft)

 

Lecciones y recomendaciones

 

Este tipo de ataques son una advertencia clara: los cibercriminales están aprendiendo a moverse dentro de la nube con la misma agilidad con la que se despliegan los servicios legítimos.

Para protegerte o proteger el entorno de tu organización, desde TecnetOne te recomendamos:

 

Refuerza la identidad

 

  1. Activa siempre autenticación multifactor (MFA).

  2. Implementa protección de tokens y detección de inicio de sesión riesgoso.

  3. Supervisa y elimina las cuentas inactivas o de bajo uso (especialmente las educativas o PAYG).

 

Aplica el principio de menor privilegio

 

  1. Revisa periódicamente los roles y permisos en Azure.

  2. Evita otorgar privilegios globales a usuarios o aplicaciones OAuth.

  3. Audita las invitaciones de usuarios externos y los cambios en directorios o suscripciones.

 

Supervisa las cuotas y el consumo

 

  1. Trata las cuotas de recursos como límites de crédito: configura alertas para detectar aumentos inusuales o de múltiples regiones.

  2. Revisa solicitudes de soporte relacionadas con ampliación de capacidad.

 

Detecta y responde rápido

 

  1. Usa Microsoft Defender for Cloud o herramientas de monitoreo equivalentes.

  2. Crea alertas ante creaciones de máquinas virtuales, notebooks o apps OAuth sospechosas.

  3. Si sospechas de abuso, ejecuta una investigación de incidentes y revoca accesos comprometidos de inmediato.

 

Reduce la superficie de ataque

 

  1. Elimina suscripciones o tenants que no utilices.

  2. Reporta cualquier abuso o actividad anómala a través del portal de seguridad de Microsoft (MSRC).

 

Conclusión: la nube es poderosa, pero no infalible

 

La nube ofrece velocidad, flexibilidad y escalabilidad. Pero también, como demuestra esta campaña, esas mismas ventajas pueden ser usadas en tu contra.

Los atacantes modernos no dependen de virus o ransomware tradicionales: ahora usan las herramientas de la propia infraestructura para camuflarse, crecer y persistir.

Desde TecnetOne, creemos que la clave está en la visibilidad, la educación y la automatización inteligente de la seguridad. Solo comprendiendo cómo se comportan los atacantes en entornos cloud puedes adelantarte a ellos y proteger realmente tu información.

La nube seguirá siendo el futuro, pero solo será segura si aprendemos a defenderla con la misma agilidad con la que evoluciona.

 
Ver post completo