Una nueva técnica de phishing conocida como “CoPhish” está llamando la atención en el mundo de la ciberseguridad. Este método aprovecha los agentes de Microsoft Copilot Studio para enviar solicitudes de consentimiento OAuth falsas, todo a través de dominios legítimos de Microsoft, lo que hace que sea mucho más difícil detectar el engaño.
El problema radica en la flexibilidad que ofrece Copilot Studio, una herramienta pensada para automatizar procesos empresariales. Esa misma flexibilidad ha abierto la puerta a nuevas formas de phishing que hasta ahora no estaban en el radar de muchas organizaciones.
Microsoft, por su parte, ha reconocido la situación y ha confirmado que ya está trabajando en soluciones. Un portavoz de la compañía aseguró que están investigando el caso y que planean introducir mejoras en futuras actualizaciones para reforzar la seguridad.
Aunque el ataque CoPhish se basa principalmente en ingeniería social, Microsoft también señaló que está evaluando nuevas medidas para mejorar el control de consentimiento y evitar que los usuarios autoricen aplicaciones maliciosas sin saberlo.
¿Cómo se usa Copilot Studio en este tipo de phishing?
Los agentes de Copilot Studio son básicamente chatbots que se pueden crear y personalizar fácilmente desde la plataforma de Microsoft. Estos bots viven en el dominio oficial copilotstudio.microsoft.com, lo cual les da un aire de legitimidad que los atacantes están aprovechando.
La creación de estos agentes se basa en lo que Microsoft llama "topics", que son flujos de trabajo diseñados para automatizar tareas específicas dentro de una conversación, como responder preguntas o guiar al usuario por un proceso.
Lo preocupante es que estos agentes se pueden compartir públicamente activando la opción de "sitio web de demostración". Esto genera una URL dentro del dominio oficial de Microsoft, lo que hace mucho más probable que un usuario confíe en el enlace y termine iniciando sesión sin sospechar nada.
Además, los atacantes pueden configurar estos bots para que simulen un proceso de autenticación. Por ejemplo, al comenzar una conversación, el bot puede pedir al usuario que introduzca un código, que se identifique o incluso puede redirigirlo a otro sitio o servicio. Todo esto sin levantar alarmas, porque parece una interacción legítima.
Tema de inicio de sesión personalizable en la fuente del agente malicioso (Fuente: Datadog)
¿Qué tan grave puede ser este ataque? ¿Y a quién puede afectar?
Una de las cosas más preocupantes del ataque CoPhish es su flexibilidad. El atacante puede personalizar completamente el botón de inicio de sesión en el bot de Copilot Studio, conectándolo a una aplicación maliciosa. Esta aplicación puede estar tanto dentro como fuera del entorno corporativo de la víctima, lo que amplía el alcance del ataque.
Esto significa que incluso un administrador de aplicaciones podría ser objetivo, aunque no tenga acceso directo al entorno donde se está desplegando el bot. En otras palabras, no es necesario que el atacante esté “dentro” para causar daño.
En la situación actual, si un atacante ya se encuentra en el entorno de la víctima (es decir, dentro del inquilino o tenant de Microsoft 365), puede apuntar a cualquier usuario sin privilegios y usar este método para escalar su acceso. Sin embargo, Microsoft ya ha anunciado cambios en su configuración por defecto que limitarán estos ataques.
Cuando estas nuevas políticas entren en vigor, los atacantes solo podrán solicitar permisos limitados, como lectura y escritura en OneNote, lo cual cerrará la puerta a accesos más sensibles, como correos electrónicos, chats de Teams o calendarios. Aun así, los usuarios con privilegios de administrador seguirán en riesgo.
¿Por qué los administradores siguen siendo un blanco atractivo?
El problema es que los administradores pueden aprobar permisos para aplicaciones, incluso si estas no están verificadas por Microsoft o no han sido publicadas por la organización. Esto les da a los atacantes un margen para crear aplicaciones multiinquilino (es decir, que funcionan en múltiples entornos) y dirigir el proceso de inicio de sesión hacia un proveedor controlado por ellos.
Una vez que el usuario autoriza la aplicación, el atacante puede capturar el token de sesión. Esto se puede hacer configurando el bot para enviar una solicitud HTTP personalizada (por ejemplo, a una herramienta como Burp Collaborator), incluyendo el token de acceso en un encabezado HTTP como “token”.
Con ese token, el atacante puede actuar en nombre del usuario, acceder a sus datos o incluso moverse lateralmente dentro del entorno corporativo, dependiendo de los permisos concedidos.
Agregar las acciones necesarias al tema de inicio de sesión (Fuente: Datadog)
Para hacer que todo parezca legítimo, los atacantes configuran cuidadosamente los ajustes de inicio de sesión del agente en Copilot Studio. Esto incluye el uso de un ID de aplicación, un secreto de cliente y las URLs del proveedor de autenticación. Estos elementos permiten que el proceso de inicio de sesión simule ser totalmente auténtico, aunque esté redirigiendo al usuario hacia una aplicación maliciosa.
Lo más preocupante es que el botón de "Iniciar sesión" que aparece en el chatbot puede redirigir al usuario a cualquier URL que el atacante elija. Aunque muchas veces se utiliza la URL del flujo de consentimiento OAuth, esto es solo una de muchas opciones. En otras palabras, el atacante tiene control total sobre a dónde lleva ese botón.
Podría interesarte leer: ChatGPT Atlas: Nueva Vulnerabilidad
¿Cómo se lanza el ataque contra los administradores?
Una vez que el atacante ha configurado el agente malicioso y activa la opción de “sitio web de demostración”, puede compartir ese enlace directamente con sus objetivos. Esto se puede hacer por medio de correos electrónicos de phishing o incluso a través de mensajes en plataformas como Microsoft Teams.
Y aquí es donde está el truco: como la URL pertenece a un dominio legítimo de Microsoft (copilotstudio.microsoft.com), y el diseño de la página luce como cualquier otro servicio de la suite Microsoft Copilot, muchos usuarios bajan la guardia.
Esto lo convierte en un ataque altamente efectivo, incluso contra perfiles con privilegios, como administradores. Estos usuarios pueden, sin saberlo, conceder permisos sensibles a una aplicación falsa, creyendo que están iniciando sesión en un servicio real de Microsoft.
Una de las pocas señales que podría levantar sospechas es la presencia del icono de “Microsoft Power Platform” en la interfaz del chatbot, algo que tal vez no esperas ver si estás interactuando con un supuesto servicio de Copilot. Sin embargo, es un detalle fácil de pasar por alto, especialmente si el diseño general parece confiable.
La página alojada por Microsoft y el botón de inicio de sesión (Fuente: Datadog)
¿Qué ocurre cuando un administrador cae en la trampa?
Si un administrador hace clic en el botón de inicio de sesión del agente malicioso y aprueba los permisos solicitados, es redirigido a una URL de autenticación legítima como token.botframework.com.
Aunque esta URL puede parecer sospechosa para algunos, en realidad forma parte del proceso normal de validación de bots en Copilot Studio, lo que refuerza aún más la ilusión de legitimidad.
Una vez que el proceso de autenticación se completa, el usuario puede comenzar a interactuar con el agente, como si todo fuera completamente normal. Sin embargo, detrás de escena, su token de sesión ya ha sido enviado al atacante, sin que el usuario reciba ninguna notificación o alerta sobre lo que ha ocurrido.
¿Por qué este ataque es tan difícil de detectar?
Una de las razones por las que CoPhish es tan efectivo es que la solicitud del token se realiza desde el entorno de Copilot Studio, utilizando infraestructura y direcciones IP de Microsoft. Esto significa que, desde el punto de vista de las herramientas de monitoreo o del registro de actividad del usuario, no hay señales claras de una conexión con un servidor malicioso externo. A simple vista, todo parece una interacción legítima dentro de los servicios de Microsoft.
¿Cómo protegerse contra este tipo de ataque?
Existen varias recomendaciones clave para reducir el riesgo ante ataques como CoPhish:
-
Limitar los privilegios administrativos: Cuantos menos usuarios tengan privilegios elevados, menor será el impacto si una cuenta es comprometida.
-
Restringir los permisos de aplicaciones: Implementar políticas que eviten que los usuarios autoricen apps no verificadas o externas es fundamental para bloquear este tipo de accesos.
-
Establecer una política clara de consentimiento de aplicaciones: Asegúrate de que solo aplicaciones previamente aprobadas o revisadas puedan solicitar permisos. Esto ayuda a cerrar brechas comunes en las configuraciones predeterminadas.
-
Deshabilitar la creación automática de aplicaciones por parte de los usuarios: Esta medida evita que cualquier usuario pueda registrar nuevas apps dentro del entorno sin supervisión.
-
Monitorear el consentimiento y creación de agentes: Supervisar de cerca los eventos relacionados con el consentimiento de aplicaciones en Microsoft Entra ID (antes Azure AD) y con la creación de nuevos agentes en Copilot Studio puede ayudarte a detectar actividades inusuales a tiempo.
¿Qué debemos aprender de CoPhish?
Este tipo de ataques pone en evidencia cómo los atacantes están aprovechando herramientas legítimas para crear vectores de ataque sofisticados. Ya no se trata de correos con enlaces extraños o dominios mal escritos. Ahora, el phishing se disfraza de procesos empresariales comunes, usando infraestructuras de confianza para pasar desapercibido.
El caso de CoPhish es un ejemplo claro de por qué la seguridad no puede depender únicamente de la apariencia del dominio o del diseño de una página. Incluso cuando todo parece estar dentro del ecosistema de Microsoft, siempre hay que revisar cuidadosamente las solicitudes de permisos, los orígenes de las aplicaciones y el propósito de cada flujo de autenticación.
Más allá de las medidas técnicas, la educación en ciberseguridad es esencial. Capacitar a los usuarios para identificar riesgos, entender cómo funcionan ataques como CoPhish y actuar con criterio ante solicitudes inusuales, puede evitar accesos no autorizados antes de que ocurran. La tecnología protege, pero las personas bien informadas son la primera línea de defensa.
