Ciberdelincuentes explotan OAuth de Google para suplantar la identidad en ataques DKIM de repetición
Publicado enNoticias

Ciberdelincuentes explotan OAuth de Google para suplantar la identidad en ataques DKIM de repetición

No hay comentarios

Ataque de Suplantación de Google mediante Abuso de OAuth y DKIM

Recientemente, se ha identificado un sofisticado ataque de phishing en el que actores maliciosos explotaron una vulnerabilidad en el sistema de autenticación de Google para enviar correos electrónicos fraudulentos que superaban todas las verificaciones de seguridad, incluyendo DKIM (DomainKeys Identified Mail). Estos mensajes parecían legítimos, ya que técnicamente provenían de los servidores de Google, pero redirigían a los usuarios a páginas falsas diseñadas para robar credenciales.

Mecanismo del Ataque

El ataque aprovechó una combinación de técnicas:

  • Abuso de OAuth: Los atacantes utilizaron aplicaciones maliciosas registradas en Google OAuth para generar tokens de acceso legítimos. Esto permitió que los correos parecieran auténticos al pasar las verificaciones estándar.
  • Replay Attack con DKIM: Manipularon los encabezados DKIM, reutilizando firmas válidas de correos anteriores de Google para falsificar la procedencia del mensaje.
  • Redirección a Páginas Fraudulentas: Los enlaces dentro del correo llevaban a dominios controlados por los atacantes, pero con URLs que simulaban ser de Google.

Implicaciones Técnicas

Este ataque evadió múltiples capas de seguridad:

  • SPF (Sender Policy Framework): No fue efectivo, ya que los correos provenían técnicamente de servidores autorizados de Google.
  • DMARC (Domain-based Message Authentication): La combinación de OAuth y DKIM comprometió esta protección.
  • Filtros Anti-Phishing: Al usar dominios legítimos de Google en los encabezados, los sistemas automatizados los marcaron como seguros.

Contramedidas Recomendadas

Para mitigar este tipo de ataques, se recomienda:

  • Implementar políticas estrictas de revisión de aplicaciones OAuth.
  • Monitorizar anomalías en el uso de tokens de acceso.
  • Educar a los usuarios sobre la verificación manual de URLs, incluso en correos aparentemente legítimos.
  • Actualizar los sistemas de verificación de correo para detectar posibles replay attacks de DKIM.

Este incidente demuestra cómo los atacantes están combinando técnicas avanzadas para evadir las protecciones tradicionales. Las organizaciones deben adoptar un enfoque de defensa en profundidad que combine soluciones técnicas con concienciación del usuario.

Fuente original

Comentarios

Aún no hay comentarios. ¿Por qué no comienzas el debate?

Deja una respuesta