Llevamos años educando a la gente con la misma frase: «fíjate en la URL», «mira que el dominio sea el oficial», «si pone Microsoft.com, puedes estar tranquilo». Pues bien, esa red de seguridad acaba de saltar por los aires. Microsoft ha confirmado una nueva técnica de phishing en la cual técnicamente, el primer paso del ataque ocurre dentro de sus propios servidores legítimos. Ya no sirve con mirar la barra de direcciones y respirar aliviado.

El problema reside en cómo los atacantes están manipulando el protocolo OAuth, ese sistema que todos usamos para loguearnos en cualquier web usando nuestra cuenta de Outlook o Hotmail. Lo que hacen es generar un enlace que te lleva a la página real de inicio de sesión de Microsoft. No es una copia, es la de verdad. Al introducir los credenciales correctos, pasa el doble factor de forma legítima y, justo en ese momento, el sistema de redirección de errores de Microsoft —que ha sido previamente manipulado mediante parámetros en la URL— te direcciona hacia una web controlada por los hackers.
Lo que viene después es lo que debería encender todas las alarmas. Una vez que el servidor oficial te redirige, el navegador intenta descargar de forma automática un archivo, normalmente un ZIP o un HTML. Aquí es donde reside el peligro real, pues todo el proceso es transparente y bajo una falsa apariencia de seguridad y abres el archivo pensando que forma parte del proceso o es un documento necesario. En ese instante, un script de PowerShell o un ejecutable hace el resto del trabajo sucio en tu equipo.
Es un ataque brillante por lo simple que resulta engañar al ojo humano. Estamos programados para confiar en ciertos entornos y los ciberdelincuentes lo saben. Han dejado de intentar clonar webs de forma chapucera para empezar a usar la propia infraestructura de los gigantes tecnológicos como trampolín. De hecho, esta técnica ya se está viendo en ataques dirigidos a sectores críticos, lo que indica que no es el típico spam masivo de fin de semana, sino algo mucho más estudiado.
Para los que andamos por foros de hardware y software, la lección es clara. La seguridad ya no es una cuestión de «dónde estoy», sino de «qué pasa después». Un inicio de sesión nunca, bajo ninguna circunstancia, debería terminar en una descarga de archivos. Si tras poner tu contraseña el navegador te pide guardar algo en el disco duro, sospecha inmediatamente, cerrando la pestaña y limpia la caché, además de analizar tu equipo en búsqueda de virus.




