Masivo ciberataque a Microsoft 365 expone los sistemas de autenticación básica

Una creciente preocupación se ha extendido en el ámbito empresarial global tras la detección de una red de botnets compuesta por más de 130.000 dispositivos interconectados, que llevaron a cabo un ciberataque masivo dirigido a cuentas empresariales de Microsoft 365, uno de los servicios más empleados por corporaciones a nivel mundial.

Según los investigadores en ciberseguridad, el objetivo principal del ataque fue el robo de contraseñas y el acceso a datos confidenciales de usuarios corporativos. Aunque los detalles sobre las organizaciones afectadas aún no se han revelado, los expertos aseguran que la operación pone en evidencia la vulnerabilidad de los servicios de Microsoft 365.

El concepto de botnet hace referencia a una red de dispositivos infectados y controlados de forma remota por ciberdelincuentes. Estos dispositivos, también conocidos como bots, pueden incluir desde computadoras personales hasta teléfonos móviles y routers conectados a Internet. Los atacantes utilizan estas redes para ejecutar actividades ilícitas como el robo de credenciales, la distribución de malware o el envío masivo de correos electrónicos no solicitados.

Una de las características más peligrosas de las botnets es que los dispositivos infectados operan sin el conocimiento de sus propietarios. Esto permite que cualquier dispositivo conectado a la red pueda ser convertido en parte de una botnet, facilitando el acceso a información confidencial sin que el usuario lo detecte. En el caso de este ataque, detectado en diciembre de 2024, la botnet ha sido utilizada específicamente para acceder a cuentas de Microsoft 365.

Según los investigadores de la firma de ciberseguridad SecurityScorecard, los atacantes emplearon proveedores de tráfico como UCLOUD HK y CDS Global Cloud para coordinar los accesos no autorizados. Estos proveedores actuaron como plataformas a través de las cuales los ciberdelincuentes dirigieron el tráfico malicioso hacia las cuentas de los usuarios afectados.

Una de las tácticas empleadas por los atacantes fue el uso de inicios de sesión no interactivos. Este método aprovechó la autenticación básica, que permite a los atacantes eludir sistemas de seguridad más avanzados, como la autenticación multifactor (MFA). A través de esta estrategia, los delincuentes pudieron crear accesos invisibles a las cuentas, lo que les permitió sustraer datos sin que se activaran las alertas de seguridad.

Para los expertos esta táctica subraya la planificación meticulosa y el alto nivel técnico de los atacantes. Por otra parte, la capacidad para evadir medidas de protección estándar y obtener acceso a información sensible pone en evidencia las deficiencias en la seguridad de algunas plataformas digitales.

Ante la magnitud de este ataque, los especialistas en ciberseguridad han recomendado una serie de medidas para proteger las cuentas de Microsoft 365 y prevenir futuros incidentes. La principal sugerencia es la desactivación de la autenticación básica, identificada como una de las vulnerabilidades principales aprovechadas por los atacantes. Asimismo, se recomienda implementar la autenticación multifactor (MFA), una capa adicional de seguridad que requiere múltiples formas de verificación para acceder a una cuenta.

Otro paso fundamental es el monitoreo constante de las direcciones IP que intentan iniciar sesión en las cuentas corporativas. La identificación y bloqueo de direcciones IP sospechosas puede ayudar a prevenir accesos no autorizados y limitar los riesgos asociados al uso de estas redes maliciosas.

Además, los expertos subrayan la importancia de mantener los sistemas de seguridad actualizados y educar a los empleados sobre las mejores prácticas para proteger sus credenciales. La implementación de políticas de seguridad rigurosas y el fortalecimiento de las defensas contra ciberamenazas son acciones clave para reducir el impacto de estos ataques.

Los investigadores aseguran que este incidente no es un hecho aislado, sino parte de una tendencia más amplia en la que los atacantes buscan explotar las debilidades de los sistemas tecnológicos para obtener beneficios ilícitos.

Ante esta amenaza, las empresas, los expertos en ciberseguridad y las autoridades buscan generar una respuesta coordinada para garantizar la protección de los datos y sistemas en un entorno digital cada vez más complejo.