SAFE. Guía para proteger tu vida digital y tu privacidad

17 jul 2026

Suplantación de ID de cliente de OAuth

Al menos dos grupos de ciberdelincuentes están utilizando una novedosa técnica de evasión llamada suplantación de ID de cliente OAuth en campañas en la nube, eludiendo la telemetría.

Esta actividad permite a los usuarios enumerar cuentas de usuario y validar credenciales robadas en entornos Microsoft Entra ID, sin generar un inicio de sesión exitoso que alertaría a los sistemas de seguridad. Los ciberdelincuentes han comenzado a explotar esta vulnerabilidad para obtener acceso no autorizado a los servicios en la nube de las organizaciones.

"Un punto ciego en la telemetría de inicio de sesión en la nube: Entra ID devuelve diferentes respuestas de error según la validez del ID de cliente OAuth proporcionado", declaró Proofpoint. "Los atacantes aprovechan esto para inferir nombres de usuario y contraseñas válidas a gran escala, comprobando así listas de credenciales robadas sin registrar un inicio de sesión exitoso".

En otras palabras, los ataques utilizan el ID de cliente OAuth, un identificador único global (GUID) asignado a las aplicaciones al solicitar acceso a los datos de usuario, que se transmite como "client_id" en las solicitudes de autenticación. Al proporcionar identificadores de cliente falsificados, permite la enumeración de cuentas sin una aplicación OAuth registrada y permite a los atacantes inferir la validez de la contraseña y la cuenta sin generar un inicio de sesión exitoso.

"Los registros de inicio de sesión de Entra son una fuente principal de telemetría para identificar actividades de autenticación maliciosas, incluyendo la enumeración de usuarios, el ataque de fuerza bruta contra contraseñas y los intentos de acceso iniciales", afirmó Rachel Rabin, investigadora de Proofpoint.

Se ha observado que grupos de amenazas como UNK_CustomCloak falsifican cadenas de agente de usuario para orquestar campañas de fuerza bruta dirigidas a entornos de Microsoft Entra ID, explotando una aplicación obsoleta de Microsoft llamada Windows Live Custom Domains para eludir las restricciones de inicio de sesión estándar y sondear las contraseñas de los usuarios en más de 4.000 inquilinos.

Sin embargo, los últimos esfuerzos representan una evolución de esta técnica al falsificar los identificadores de cliente de OAuth mediante solicitudes HTTP POST al punto final de token OAuth 2.0 de Microsoft utilizando el flujo de Credenciales de Contraseña del Propietario del Recurso (ROPC). En concreto, esto implica proporcionar un ID de cliente sintácticamente válido, pero que no corresponde a una aplicación real.

En estos casos, solo se registra el ID de la aplicación en el registro de inicio de sesión de Entra, sin el nombre de la aplicación correspondiente. La respuesta, que contiene un código de error del Servicio de tokens de seguridad de Azure Active Directory (AADSTS), puede utilizarse para deducir si la cuenta existe y si la contraseña es correcta, incluso sin una aplicación registrada.

"Si el ID de cliente falsificado no es un UUIDv4 válido, Entra no rechaza la solicitud directamente", explicó Proofpoint. "Por lo tanto, los atacantes pueden analizar esta respuesta de error para identificar cuentas y contraseñas válidas, a pesar de utilizar ID de cliente mal formados. Cuando se utiliza un ID de cliente falsificado, no se registra el nombre de la aplicación correspondiente en el registro de inicio de sesión. Esto significa que las detecciones que buscan picos de actividad asociados a un nombre de aplicación específico pueden pasar por alto esta actividad por completo, ya que el campo aparece en blanco".

Con esta información, los atacantes podrían identificar cuentas susceptibles de ser explotadas para obtener acceso sigiloso, dificultando a los defensores la detección de actividades sospechosas.

Proofpoint ha identificado dos grandes campañas que adoptaron esta técnica de forma independiente a finales de diciembre de 2025, lo que indica que este método se está incorporando cada vez más a las tácticas de los atacantes, en lugar de ser un incidente aislado:

  • UNK_pyreq2323 (de enero a marzo de 2026), que utilizó más de 700.000 ID de cliente falsificados de la infraestructura de Amazon Web Services (AWS) para atacar a más de un millón de cuentas en casi 4.000 clientes, provocando el bloqueo de aproximadamente el 28% de los usuarios afectados debido a intentos fallidos.
  • UNK_OutFlareAZ (a partir de diciembre de 2025), que aprovechó la infraestructura de Cloudflare para atacar a más de dos millones de usuarios con 3,7 millones de ID de aplicación falsificados generados aleatoriamente. Se ha observado que ambas campañas utilizan UUID válidos en lugar de identificadores mal formados y demuestran patrones que coinciden con listas de nombres de usuario precompiladas. Sin embargo, mientras que UNK_OutFlareAZ enumeraba a los usuarios alfabéticamente, UNK_pyreq2323 no lo hacía. Otra diferencia radicaba en cómo se falsificaban los ID de cliente.

Se dice que UNK_pyreq2323 modificaba los últimos dígitos de un ID de aplicación conocido y luego reutilizaba los ID falsificados para hasta 12 usuarios. En cambio, UNK_OutFlareAZ generaba un ID de cliente único por solicitud.

"Al fragmentar los intentos de autenticación en múltiples aplicaciones ficticias, la actividad se vuelve más difícil de correlacionar y puede eludir las detecciones y limitaciones de velocidad por aplicación. Las organizaciones pueden intentar mitigar los ataques de enumeración tradicionales aplicando políticas de acceso condicional (CA) dirigidas a las aplicaciones que suelen ser objetivo de la enumeración. Los ID de cliente falsificados no activarán las políticas CA dirigidas a una aplicación específica.

Fuente: THN



Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!