Hackers explotan Microsoft Entra: Nueva vulnerabilidad en passkeys
Un grupo de actores maliciosos utiliza ingeniería social para comprometer cuentas de Microsoft 365 mediante falsos registros de passkeys en Entra.

El auge de la ingeniería social dirigida contra Microsoft Entra
La seguridad en la nube ha recibido un nuevo golpe. Recientemente, se ha identificado una campaña sofisticada liderada por el grupo identificado como O-UNC-066, quienes están utilizando tácticas de phishing de voz para comprometer el acceso a entornos corporativos de Microsoft 365. A diferencia de los ataques tradicionales, este hack se centra en manipular el proceso de registro de passkeys dentro de Microsoft Entra.
El método es engañosamente simple: los atacantes contactan a los empleados bajo la apariencia de personal de soporte técnico, instándoles a realizar un registro de seguridad urgente. Al acceder a un kit de phishing controlado por los atacantes, la víctima termina vinculando un dispositivo controlado por el actor malicioso, otorgándoles acceso persistente a la red corporativa.
¿Cómo funciona esta vulnerabilidad en el registro de passkeys?
La efectividad de esta amenaza radica en su capacidad para eludir los métodos de autenticación multifactor (MFA) convencionales. Los atacantes aprovechan la confianza del usuario en las nuevas tecnologías de autenticación sin contraseña (passwordless).
"El actor de amenazas O-UNC-066 utiliza un panel de control avanzado para orquestar la captura de credenciales y la inscripción de dispositivos en tiempo real, facilitando ataques de extorsión de datos a gran escala."
Implicaciones para la seguridad corporativa
Este incidente pone de manifiesto que, independientemente de las actualizaciones de seguridad que implementa el gigante tecnológico —como cuando Microsoft corrige la vulnerabilidad RoguePlanet en Windows Defender—, el factor humano sigue siendo el eslabón más débil. Si los atacantes logran comprometer una cuenta privilegiada, el siguiente paso suele ser el despliegue de ransomware para cifrar datos críticos y exigir pagos astronómicos.
Para mitigar estos riesgos, las organizaciones deben:
- Implementar políticas estrictas de verificación de identidad para cualquier solicitud de soporte técnico.
- Capacitar al personal sobre los riesgos de los nuevos métodos de autenticación.
- Monitorear constantemente los registros de auditoría en busca de dispositivos no autorizados vinculados a cuentas de Entra.
Conclusión
La transición hacia entornos passwordless es necesaria, pero no es una solución mágica. La sofisticación de grupos como O-UNC-066 demuestra que los ciberdelincuentes están evolucionando sus tácticas para atacar las propias herramientas diseñadas para nuestra protección. La ciberseguridad debe ser, ante todo, una cultura de vigilancia constante y no solo una cuestión de configuración de software.
Artículos relacionados
11 de julio de 2026
Condemna històrica: membre de la banda Ryuk ransomware admet la seva culpabilitat
Un ciutadà armeni es declara culpable als EUA pel desplegament de ransomware Ryuk, afrontant una possible sentència de 15 anys de presó.
11 de julio de 2026
Historic Conviction: Ryuk Ransomware Gang Member Admits Guilt
An Armenian national pleads guilty in the U.S. for deploying Ryuk ransomware and faces a potential 15-year prison sentence.
11 de julio de 2026
Condena histórica: miembro de la banda Ryuk ransomware admite su culpa
Un ciudadano armenio se declara culpable en EE. UU. por el despliegue de ransomware Ryuk, enfrentando una posible sentencia de 15 años de prisión.
10 de julio de 2026
Hackers exploten Microsoft Entra: Nova vulnerabilitat en passkeys
Un grup d'actors maliciosos utilitza enginyeria social per comprometre comptes de Microsoft 365 mitjançant falsos registres de passkeys a Entra.
Cargando comentarios...