Se ha observado una nueva campaña de phishing dirigida a organizaciones que utilizan Microsoft Active Directory Federation Services (ADFS), aprovechando páginas de inicio de sesión falsificadas para robar credenciales y eludir la autenticación multifactor (MFA).
Según los investigadores de ciberseguridad de Abnormal Security, el ataque explota ADFS, una solución de inicio de sesión único (SSO) que permite a los usuarios autenticarse en varias aplicaciones con un único conjunto de credenciales.
Los actores de amenazas crean páginas de phishing muy convincentes que reflejan los portales de inicio de sesión de ADFS legítimos de las organizaciones objetivo, engañando a los usuarios para que envíen sus credenciales y detalles de MFA.
Los cibercriminales ejecutan este ataque en varias etapas:
Correo electrónico de phishing: correos electrónicos falsificados, que parecen provenir del departamento de TI de la organización, incitan a los usuarios a visitar una página de inicio de sesión de ADFS fraudulenta
Recolección de credenciales: el sitio de phishing recopila nombres de usuario, contraseñas y códigos MFA
Toma de control de cuentas: los atacantes usan credenciales robadas para acceder a la red de la organización, realizar phishing lateral y cometer fraude financiero
A diferencia de las estafas de phishing tradicionales que crean una sensación de urgencia, estos correos electrónicos utilizan tácticas de ingeniería social más sutiles. Los atacantes incluso personalizan las páginas de phishing en función de la configuración de MFA de una organización, lo que aumenta la probabilidad de éxito.
El informe identificó más de 150 organizaciones objetivo en múltiples industrias, y el sector educativo representa más del 50 % de los ataques. Otras industrias afectadas incluyen:
Salud (14,8%), Gobierno (12,5%), Tecnología (6,3%), Transporte (3,4%)
La mayoría de las organizaciones afectadas se encuentra en EE. UU., Canadá, Australia y Europa. Las empresas con sistemas de autenticación heredados como ADFS son particularmente vulnerables, ya que muchas aún no han realizado la transición a la plataforma de identidad moderna de Microsoft, Entra.
Los expertos en seguridad recomiendan una estrategia de defensa de múltiples capas:
Migrar a soluciones de identidad modernas: cambiar a plataformas como Microsoft Entra para reducir la dependencia de ADFS
Reforzar la capacitación en concienciación sobre seguridad: educar a los empleados sobre tácticas de phishing y técnicas de manipulación psicológica
Implementar herramientas de detección avanzadas: utilizar el filtrado de correo electrónico impulsado por IA y la supervisión del comportamiento para detectar intentos de phishing
Al actualizar de forma proactiva las medidas de seguridad y educar a los usuarios, las organizaciones pueden mitigar el riesgo de ataques de phishing basados en ADFS y proteger mejor la información confidencial.
