Los ciberdelincuentes han encontrado una nueva y sofisticada manera de eludir las medidas de seguridad, incluyendo la autenticación multifactor (MFA), aprovechando las vulnerabilidades en el proceso de consentimiento de OAuth. Esta técnica, cada vez más prevalente, permite a los atacantes obtener acceso no autorizado a cuentas y datos sensibles sin necesidad de credenciales directas, representando un avance significativo en el panorama del phishing.
Tradicionalmente, el phishing se basaba en engañar a los usuarios para que revelaran sus contraseñas o hicieran clic en enlaces malicio sos. Sin embargo, el nuevo método explota la forma en que las aplicaciones y servicios solicitan permiso para acceder a datos o funcionalidades de otros servicios a través de OAuth. Los atacantes crean aplicaciones maliciosas que parecen legítimas y solicitan permisos extensos. Cuando un usuario, creyendo que la aplicación es de confianza, otorga su consentimiento, el atacante obtiene acceso a sus datos o puede realizar acciones en su nombre.
Lo particularmente peligroso de este ataque es que el consentimiento se otorga directamente al servicio legítimo (como Google, Microsoft, etc.), no al atacante. Esto significa que las contraseñas no se exponen, y las señales de alerta normales de un intento de phishing (como una página de inicio de sesión sospechosa) se evitan por completo. El usuario simplemente aprueba una solicitud de acceso, sin darse cuenta de que está concediendo un pase libre a sus datos o a su identidad digital. Las implicaciones son vastas, afectando de sde cuentas personales hasta infraestructuras empresariales, abriendo la puerta a robo de información, suplantación de identidad y accesos no autorizados a sistemas críticos. La industria de la ciberseguridad está trabajando en contramedidas, pero la complejidad de OAuth y la constante evolución de las tácticas de ataque hacen que esta sea una amenaza a la que debemos prestar especial atención y educación continua.
Fuente Original: https://thehackernews.com/2026/05/the-new-phishing-click-how-oauth.html
Artículos relacionados de LaRebelión:
- OpenAI Lanza Daybreak Deteccion de Vulnerabilidades con IA
- IA y Captchas Cognitivos El Nuevo Internet Agente
- Vercel Breach Uncovered OAuth Gap Threatens Security Teams
- IA con fallos Agentes filtran secretos via prompt injection
- OpenAI Codex IA que ve tu pantalla Contexto con Capturas
Artículo generado mediante LaRebelionBOT
No hay comentarios:
Publicar un comentario