Portal ERP
News ES Artigos
VolverCiberseguridad

Proofpoint alerta de una nueva técnica para evadir la detección en Microsoft Entra

La compañía identifica campañas masivas que utilizan la suplantación de identificadores OAuth para ocultar actividades de reconocimiento y validación de credenciales

Redacción Portal ERP
16 jul 2026
T|Fonte:18px
3 min de lectura
Proofpoint alerta de una nueva técnica para evadir la detección en Microsoft Entra

Proofpoint ha identificado una nueva técnica utilizada por ciberdelincuentes para dificultar la detección de ataques dirigidos contra Microsoft Entra, la plataforma de gestión de identidades y accesos en la nube de Microsoft. La investigación de la compañía revela que diferentes actores maliciosos están recurriendo a la suplantación de identificadores de cliente OAuth para eludir los mecanismos tradicionales de detección basados en aplicaciones.

Según el análisis realizado por la empresa de ciberseguridad, esta técnica permite a los atacantes obtener información sobre las cuentas de usuario sin necesidad de completar con éxito un proceso de autenticación. En concreto, pueden validar nombres de usuario, comprobar el estado de las cuentas, determinar si las contraseñas continúan siendo válidas y verificar la presencia de medidas de protección como la autenticación multifactor (MFA) o las políticas de acceso condicional.

La principal novedad radica en el uso de identificadores de cliente OAuth falsificados en lugar de aplicaciones OAuth registradas. Como consecuencia, los registros de autenticación generados no muestran un nombre de aplicación asociado, eliminando uno de los indicadores que habitualmente utilizan los equipos de seguridad para identificar actividades sospechosas y correlacionar eventos.

Te puede interesar: TrustConnect: el malware que se disfraza de software empresarial legítimo

Proofpoint ha detectado dos campañas que evidencian la rápida adopción de este procedimiento por parte de distintos grupos de atacantes.

La primera de ellas, denominada UNK_PyReq2323, empleó más de 700.000 identificadores de cliente suplantados desde infraestructura de Amazon Web Services (AWS). La campaña se dirigió a más de un millón de cuentas distribuidas en cerca de 4.000 entornos (tenants) de Microsoft Entra.

La segunda campaña, UNK_OutFlareAZ, incrementó el nivel de sofisticación mediante el uso de 3,7 millones de identificadores OAuth aleatorios y únicos, lanzando los ataques desde infraestructura de Cloudflare y alcanzando a más de dos millones de usuarios.

Aunque ambas operaciones utilizaron infraestructuras, herramientas y métodos distintos para generar los identificadores falsificados, la investigación concluye que constituyen casos independientes de adopción de la misma técnica. Para Proofpoint, este hecho indica que la suplantación de IDs de cliente OAuth está consolidándose como un nuevo recurso habitual dentro de las campañas dirigidas contra entornos cloud.

La compañía advierte de que "esta aparición simultánea de campañas que explotan una misma técnica demuestra que los ataques contra plataformas de identidad evolucionan hacia métodos más sigilosos y difíciles en cuanto a su detección". Además, explica que "con la suplantación de IDs de cliente OAuth", al eliminar "uno de los principales indicadores para los equipos de seguridad, como es el nombre de la aplicación", "los atacantes consiguen ocultar actividades de reconocimiento y validación de credenciales que, hasta ahora, habían sido fáciles de identificar".

Ante este escenario, Proofpoint recomienda revisar los registros de inicio de sesión de Microsoft Entra para identificar eventos que no incluyan nombre de aplicación o presenten identificadores vacíos, ya que pueden constituir un indicio de suplantación de IDs OAuth.

Asimismo, aconseja adaptar las reglas de correlación de los sistemas SIEM para detectar patrones de autenticación distribuidos que no dependan exclusivamente del nombre de la aplicación utilizada. La compañía también recomienda analizar los códigos de error AADSTS generados por Microsoft Entra, ya que pueden revelar intentos de validación de credenciales incluso cuando el proceso de autenticación no llegue a completarse.

La investigación pone de manifiesto la evolución de las técnicas empleadas por los ciberdelincuentes para atacar plataformas de gestión de identidades en la nube y la necesidad de que las organizaciones adapten sus mecanismos de monitorización y detección para identificar este tipo de actividades antes de que puedan derivar en un compromiso de las credenciales.

Compartir:
Redacción Portal ERP

Equipo Editorial

El equipo editorial de Portal ERP trae las principales noticias y análisis sobre tecnología y gestión empresarial.