Hackers exploten Microsoft Entra: Nova vulnerabilitat en passkeys
Un grup d'actors maliciosos utilitza enginyeria social per comprometre comptes de Microsoft 365 mitjançant falsos registres de passkeys a Entra.

L'auge de l'enginyeria social dirigida contra Microsoft Entra
La seguretat al núvol ha rebut un nou cop. Recentment, s'ha identificat una campanya sofisticada liderada pel grup identificat com O-UNC-066, que utilitza tàctiques de phishing de veu per comprometre l'accés a entorns corporatius de Microsoft 365. A diferència dels atacs tradicionals, aquest hack se centra a manipular el procés de registre de passkeys dins de Microsoft Entra.
El mètode és enganyosament simple: els atacants contacten els empleats sota l'aparença de personal de suport tècnic, instant-los a realitzar un registre de seguretat urgent. En accedir a un kit de phishing controlat pels atacants, la víctima acaba vinculant un dispositiu controlat pel ciberdelinqüent, atorgant-los accés persistent a la xarxa corporativa.
Com funciona aquesta vulnerabilitat en el registre de passkeys?
L'efectivitat d'aquesta amenaça rau en la seva capacitat per eludir els mètodes d'autenticació multifactor (MFA) convencionals. Els atacants aprofiten la confiança de l'usuari en les noves tecnologies d'autenticació sense contrasenya (passwordless).
"L'actor d'amenaces O-UNC-066 utilitza un panell de control avançat per orquestrar la captura de credencials i la inscripció de dispositius en temps real, facilitant atacs d'extorsió de dades a gran escala."
Implicacions per a la seguretat corporativa
Aquest incident posa de manifest que, independentment de les actualitzacions de seguretat que implementa el gegant tecnològic —com quan Microsoft corrige la vulnerabilidad RoguePlanet en Windows Defender—, el factor humà continua sent l'esllavó més feble. Si els atacants aconsegueixen comprometre un compte privilegiat, el següent pas sol ser el desplegament de ransomware per xifrar dades crítiques i exigir pagaments astronòmics.
Per mitigar aquests riscos, les organitzacions han de:
- Implementar polítiques estrictes de verificació d'identitat per a qualsevol sol·licitud de suport tècnic.
- Capacitar el personal sobre els riscos dels nous mètodes d'autenticació.
- Monitorar constantment els registres d'auditoria a la recerca de dispositius no autoritzats vinculats a comptes d'Entra.
Conclusió
La transició cap a entorns passwordless és necessària, però no és una solució màgica. La sofisticació de grups com O-UNC-066 demostra que els ciberdelinqüents estan evolucionant les seves tàctiques per atacar les mateixes eines dissenyades per a la nostra protecció. La ciberseguretat ha de ser, abans de res, una cultura de vigilància constant i no només una qüestió de configuració de programari.
Articles relacionats
11 de julio de 2026
Condemna històrica: membre de la banda Ryuk ransomware admet la seva culpabilitat
Un ciutadà armeni es declara culpable als EUA pel desplegament de ransomware Ryuk, afrontant una possible sentència de 15 anys de presó.
11 de julio de 2026
Historic Conviction: Ryuk Ransomware Gang Member Admits Guilt
An Armenian national pleads guilty in the U.S. for deploying Ryuk ransomware and faces a potential 15-year prison sentence.
11 de julio de 2026
Condena histórica: miembro de la banda Ryuk ransomware admite su culpa
Un ciudadano armenio se declara culpable en EE. UU. por el despliegue de ransomware Ryuk, enfrentando una posible sentencia de 15 años de prisión.
10 de julio de 2026
Hackers Exploit Microsoft Entra: New Vulnerability in Passkeys
A group of malicious actors is using social engineering to compromise Microsoft 365 accounts via fake passkey registrations in Entra.
Carregant comentaris...