En febrero de 2026, se puso en marcha una plataforma de phishing como servicio (PhaaS) llamada EvilTokens. En cinco semanas, más de 340 organizaciones de Microsoft 365 en cinco países se vieron comprometidas.
Los objetivos de la plataforma recibieron un mensaje pidiéndoles que ingresaran un código corto en microsoft.com/devicelogin para completar un desafío MFA regular y se fueron creyendo que habían confirmado un inicio de sesión de rutina. En realidad, le estábamos dando al operador un token de actualización válido destinado a buzones, unidades, calendarios y contactos, con una duración de política de inquilino en lugar de una sesión.
El operador nunca solicitó una contraseña, activó un mensaje de MFA ni generó un evento de inicio de sesión que pareciera ser una intrusión. Este ataque tuvo éxito porque la pantalla de consentimiento de OAuth es un clic instintivo y los controles creados para detener el phishing de credenciales no tienen en cuenta la capa de consentimiento.
Los investigadores de seguridad se refieren a la situación resultante como phishing de consentimiento o abuso de permiso de OAuth. Los clics de phishing han sido un problema durante la última década, revelando contraseñas. Los importantes clics de phishing actuales pasan por tokens de actualización, que están estructuralmente bajo controles de identidad que la mayoría de las organizaciones todavía tratan como un perímetro.
Por qué MFA no puede reconocer los permisos de OAuth
El phishing de credenciales pasa nombres de usuario y contraseñas que deben ejecutarse nuevamente en algún momento. Actualmente, la mayoría de las pilas de identidades solicitan un segundo elemento al volver a ejecutarlas. Los kits de atacante en el medio (AiTM) también generan cookies de sesión asociadas con eventos de inicio de sesión que SIEM correlaciona con patrones geográficos, de dispositivo y de movimiento.
Figura 1: El phishing de credenciales deja un rastro de inicio de sesión que un SIEM puede correlacionar.
Las concesiones de OAuth no generan credenciales regeneradas. El usuario se autentica con un proveedor de identidad canónico, completa un desafío MFA con un dominio canónico y hace clic en (Aceptar). La señal que obtiene un atacante es que el sistema está funcionando según lo diseñado. Firmado por el proveedor de identidad, sujeto al consentimiento del usuario y actualizable. MFA no puede bloquearlo porque ya sucedió.
Figura 2: La autorización de OAuth no deja repeticiones, solo tokens renovables.
Otro problema es que el token de actualización hace que la ventana se expanda. Los tokens emitidos por EvilTokens sobrevivieron a los restablecimientos de contraseña y fueron válidos durante semanas o meses, según la configuración del inquilino. La actualización de la contraseña no invalidó la concesión. Solo lo cerraron las políticas de acceso condicional que requerían una revocación explícita o un nuevo consentimiento.
Cómo se normalizó el consentimiento
Este vector de ataque existe desde que OAuth se convirtió en el estándar. Lo que ha cambiado es el entorno operativo. Los usuarios han sido capacitados para hacer clic en las pantallas de consentimiento tan rápido como lo hicieron en los banners de cookies. Todos los agentes de IA instalan Surface One. Siempre hay un problema con cualquier integración de productividad. Todas las extensiones del navegador que accedan a su cuenta SaaS mostrarán su cuenta SaaS. La cantidad de consentimiento legítimo que los trabajadores del conocimiento ven en un mes excede lo que existía cuando se creó el modelo de amenaza OAuth original.
Los propios alcances utilizan un lenguaje que no se relaciona claramente con los riesgos. Si bien la «lectura de correo electrónico» puede parecer de alcance limitado, en realidad incluye todos los mensajes, archivos adjuntos e hilos compartidos a los que el usuario tiene acceso. El alcance «acceso a archivos cuando no estás» significa un token de larga duración que se emite sin revocación mientras el usuario está presente. La brecha entre el texto del acuerdo y el alcance operativo es donde operan los atacantes.
Se forma una combinación tóxica bajo el propietario de la aplicación.
Un consentimiento único de OAuth le da al atacante un punto de apoyo dentro de una sola aplicación. Cuando se levantan estos andamios, se forman riesgos más profundos.
Los usuarios de finanzas otorgan acceso al resumen de reuniones de IA a sus calendarios y buzones de correo. Luego, el mismo usuario le da acceso al Asistente de productividad a la unidad compartida de la empresa. La tercera subvención conecta la herramienta de enriquecimiento de CRM con la base de datos de clientes. Cada uno fue aprobado a la vez. Ningún propietario de aplicaciones aprobó esta combinación. La superficie de riesgo ahora son tres ámbitos que se cruzan a través de la identidad de una persona, y la intrusión de un extractor de reuniones puede alcanzar borradores de contratos y registros de clientes a través de la misma persona.
Esto se llama combinación tóxica. Consiste en un desglose de los permisos entre aplicaciones unidas por concesiones de OAuth, integraciones o agentes de IA que ningún propietario de la aplicación ha aprobado nunca como una superficie de riesgo única. El puente existe fuera de todos los registros de auditoría de aplicaciones y no se puede ver desde ningún registro de auditoría de aplicaciones.
Figura 3: Una combinación tóxica entre dos aplicaciones SaaS que el propietario no permite que se utilicen juntas.
Instalar MCP, hacer clic en el consentimiento de OAuth y otorgar extensiones del navegador son puentes que se emiten a la velocidad de un solo clic. Los servidores Model Context Protocol (MCP) están surgiendo como la próxima superficie de ataque estilo OAuth, permitiendo a los agentes obtener un alcance limitado a través del mismo mecanismo de confianza única que ya utilizan las pantallas de consentimiento.
El incidente de Salesloft Drift de 2025 mostró cómo podría verse esto a gran escala. El conector descendente comprometido se extendió a más de 700 inquilinos de Salesforce a través de tokens OAuth autorizados por los clientes. Cada cliente ha aprobado la integración. Nadie permitió cascadas.
Cosas para comprobar
Para cerrar esta brecha, los programas de seguridad deben tratar el consentimiento de OAuth de la misma manera que ya tratan la autenticación. Hacer algunas preguntas revelará dónde están las verdaderas brechas.
Áreas para verificar Inventario real de aplicaciones OAuth Cualquier aplicación de terceros que tenga tokens de actualización en su inquilino se actualiza continuamente, no durante las auditorías. Los tokens de antigüedad de concesión y reconsentimiento emitidos sin reconsentimiento hace más de 30 días se mostraban como en cola. ID de aplicación cruzada Un ID que contiene concesiones para tres o más aplicaciones SaaS y está marcado para revisión. Agentes puente e integraciones Los agentes e integraciones de IA unen dos sistemas que el propietario de la aplicación no ha autorizado. Política para reactivar eventos de consentimiento, así como eventos de inicio de sesión de acceso condicional con consentimiento. Revocación a nivel de token Un manual que revoca un único token de OAuth en lugar de suspender al usuario.
La disciplina procesal continúa creciendo. Los puentes existen en un gráfico que no es propiedad de aplicaciones individuales y se crean a la velocidad de una instalación de MCP o un clic de consentimiento de OAuth. Para ver ese gráfico continuamente, necesita una plataforma creada para monitorear la capa de tiempo de ejecución donde realmente se forman los puentes.
¿Dónde encaja una plataforma de seguridad de IA?
Una nueva clase de plataformas maneja gran parte de esto de forma automática. Asignan todas las concesiones de OAuth, agentes de IA e integraciones de terceros a un gráfico de identidad en el momento en que se emiten, en lugar de esperar a la siguiente auditoría, exponiendo puentes, tokens no utilizados y desviaciones de políticas como una cola operativa continua.
Un buen ejemplo es Reco. Unifique la seguridad de los agentes de IA, el control de identidades y la detección de amenazas en un solo plano de control. Su gráfico de conocimiento de identidad conecta identidades humanas y no humanas con aplicaciones, permisos OAuth e integraciones a las que se puede acceder a través de activos SaaS.
Figura 4: Vista de Reco de las concesiones OAuth del agente de IA y las cuentas conectadas.
La plataforma descubre continuamente agentes de IA y concesiones de OAuth a medida que aparecen, asigna cada alcance a una identidad autorizada, monitorea el comportamiento para detectar desviaciones de políticas y revoca el acceso a nivel de token en lugar de a la cuenta de usuario. Esto brinda a los equipos de seguridad visibilidad de la capa de tiempo de ejecución donde realmente se forman estas relaciones de confianza.
El phishing de consentimiento probablemente no se notará por mucho tiempo. Aunque ha habido años de inversión y escrutinio en la autenticación resistente al phishing, la capa de consentimiento todavía funciona principalmente basándose en la confianza. Cerrar esta brecha significa tratar los permisos de OAuth y las conexiones de agentes de IA con las mismas disciplinas de visibilidad, monitoreo y revocación que ya se aplican a la autenticación misma.
Obtenga más información sobre la plataforma de seguridad de IA de Reco.
Source link
