Marc Sureda
Durante la segunda mitad de 2024, la firma especializada en ciberseguridad Proofpoint registró un incremento significativo de los intentos de toma de control de cuentas dirigidos a usuarios de Microsoft 365. Concretamente, el 78% de estos perfiles corporativos experimentó al menos un ataque mediante clientes HTTP, reflejando un crecimiento del 7% respecto al semestre anterior. Estas actividades se vieron impulsadas por millones de direcciones IP que, tras ser secuestradas, se utilizaron para lanzar intentos de acceso en masa.
Los clientes HTTP son soluciones de software empleadas para formular peticiones y recibir respuestas de servidores web. Se utilizan con distintos métodos —como GET, POST, PUT o DELETE— y permiten personalizar cabeceras, incluir payloads y analizar detenidamente la respuesta del servidor. Su empleo en acciones de fuerza bruta o de adversario en el medio (AitM) se remonta a 2018.
Aunque en los primeros meses de 2024 la variante OkHttp fue la protagonista, desde marzo se incorporaron diversas alternativas que incrementaron las probabilidades de éxito de los atacantes. Los datos de Proofpoint constatan que los intentos de apropiación de cuentas alcanzaron su punto máximo en mayo del pasado año, cuando se reforzaron con direcciones IP ilegítimas para acceder a plataformas en la nube. La mayoría de estas acometidas no obtuvo resultados masivos, aunque su presencia generalizada evidenció la persistencia de los ciberdelincuentes.
Auge de Axios y técnicas AitM
Las investigaciones de la compañía han identificado campañas puntuales más eficaces que combinan precisión y métodos de fuerza bruta. En particular, se observó un uso destacable del cliente Axios, que logró interceptar y modificar el tráfico para robar credenciales y tokens con el soporte de mecanismos AitM. Esta ofensiva superó medidas como la autenticación multifactor, alcanzando una tasa media de éxito del 38% en cada mes activo.
Durante el período analizado, la campaña se orientó sobre todo a perfiles con acceso a datos sensibles o recursos financieros, como ejecutivos, responsables financieros y personal operativo. Desde junio hasta finales de noviembre, un 51% de las organizaciones incluidas en el objetivo se vieron afectadas, y en el 43% de los casos se consiguió vulnerar cuentas de usuario.
Perspectivas de evolución en ciberataques
La evolución de las tácticas de apropiación de cuentas refleja la creciente capacidad de los ciberdelincuentes para adoptar herramientas legítimas y adaptarlas a sus propósitos maliciosos. Desde Proofpoint se anticipa una continuidad en el perfeccionamiento de estas técnicas, con el fin de reducir su visibilidad y evadir los sistemas de detección.
Para los decisores de TI y responsables de compra de soluciones de seguridad, resulta cada vez más apremiante fortalecer la protección de credenciales y tokens en entornos corporativos, especialmente cuando un gran número de empleados accede a servicios en la nube de forma regular.
