Storm-2372: Cómo el phishing de códigos de dispositivo está burlando la autenticación multifactor (MFA)
Un grupo de amenazas persistentes avanzadas (APT) vinculado a Rusia, conocido como Storm-2372 (también identificado como TA499 o Void Rabisu), ha perfeccionado una técnica de phishing que explota el flujo de “código de dispositivo” para evadir los mecanismos de autenticación multifactor (MFA). Esta campaña representa un desafío significativo para las defensas tradicionales, ya que no depende de credenciales robadas ni de ataques de fuerza bruta, sino de ingeniería social y vulnerabilidades en protocolos OAuth 2.0.
El mecanismo del ataque: Device Code Phishing
El ataque se basa en el flujo de “Device Code Grant” de OAuth 2.0, diseñado para dispositivos con limitaciones de entrada (como Smart TVs o impresoras). Storm-2372 simula este proceso:
- La víctima recibe un correo fraudulento que imita notificaciones legítimas (ej: alertas de seguridad de Microsoft 365).
- Al hacer clic, se le redirige a una página falsa que inicia el flujo OAuth 2.0, generando un código de dispositivo.
- El atacante usa este código para solicitar tokens de acceso directamente al proveedor de identidad (como Azure AD), mientras la víctima ve una pantalla de “espera” falsa.
- Cuando el usuario introduce el código en la página legítima, el atacante obtiene tokens válidos con sesiones persistentes.
Técnicas complementarias y objetivos
Storm-2372 combina esta táctica con:
- Hosting en servicios cloud legítimos: Usan Azure Blob Storage o AWS S3 para alojar páginas de phishing, evitando bloqueos por reputación de dominio.
- Evasión de detección: Rotan direcciones IP y User-Agents, y utilizan certificados SSL válidos.
- Enfoque en organizaciones estratégicas: Sectores gubernamentales, energía y telecomunicaciones en Europa y Norteamérica.
Implicaciones para la seguridad corporativa
Este método es efectivo porque:
- No requiere malware ni exploits técnicos, solo interacción del usuario.
- El MFA basado en push notifications o códigos SMS no mitiga el riesgo, ya que el ataque ocurre en la capa de autenticación federada.
- Los tokens robados permiten acceso prolongado sin necesidad de reautenticación.
Contramedidas recomendadas
Para defenderse contra esta amenaza:
- Restringir flujos OAuth 2.0: Limitar el uso de Device Code Grant solo a aplicaciones autorizadas mediante Conditional Access Policies.
- Monitorizar anomalías: Alertar sobre múltiples solicitudes de token desde una misma IP o dispositivo no gestionado.
- Implementar FIDO2/WebAuthn: Autenticación sin contraseña con claves físicas resistentes a phishing.
- Capacitación específica: Enseñar a los usuarios a identificar URLs sospechosas en flujos OAuth.
Esta campaña demuestra que los atacantes APT continúan innovando en el abuso de protocolos estándar. La combinación de controles técnicos y concienciación sigue siendo crítica para proteger entornos empresariales. Para más detalles técnicos, consulta el informe completo en Fuente original.
