martes, 14 de julio de 2026
Ciberseguridad

Ataques masivos de password spraying contra Azure CLI alcanzan 81 millones de intentos y vulneran más de 78 cuentas de usuarios

Entre el 12 y el 26 de junio de 2026, una campaña de password spraying comprometió al menos 78 cuentas en 64 organizaciones que utilizan Azure CLI. El ataque registró más de 81 millones de intentos de acceso en un período de dos semanas. A diferencia de un ataque de fuerza bruta tradicional, esta campaña empleó una estrategia de distribución masiva con pocos intentos por cuenta, utilizando combinaciones de usuario y contraseña procedentes de filtraciones previas.

El ataque aprovechó el flujo OAuth Resource Owner Password Credentials (ROPC), un mecanismo heredado que OAuth 2.1 desaconseja. Este flujo permite validar credenciales y emitir tokens sin pasar por experiencias interactivas donde suelen aplicarse controles más estrictos. Las organizaciones con medidas de autenticación multifactor (MFA) activadas se vieron igualmente expuestas si sus políticas no cubrían este tipo de inicio de sesión o los clientes que permiten autenticación programática.

Durante el período del ataque, se registraron compromisos diarios entre el 12 y el 21 de junio, con una media de 2 a 4 cuentas por día. El 19 de junio se alcanzaron 12 identidades comprometidas, mientras que el 22 de junio se registró un salto a 30 identidades afectadas en 23 empresas. La infraestructura utilizada apuntó principalmente a direcciones IPv6, con actividad concentrada en el rango 2a0a:d683::/32, vinculado al ASN AS32167 y a LSHIY LLC.

El análisis reveló que varias organizaciones afectadas presentaban configuraciones incompletas de MFA y Acceso condicional. En algunos casos, la autenticación multifactor solo se exigía para aplicaciones específicas, grupos determinados o solo fuera de ubicaciones de confianza. Al menos ocho organizaciones afectadas no tenían ninguna política de MFA configurada.

Las medidas defensivas recomendadas incluyen exigir MFA para todos los usuarios y todas las aplicaciones en la nube, y verificar que las políticas cubran los flujos de autenticación no interactiva. También se aconseja reducir al mínimo el uso de ROPC, bloquearlo cuando sea posible y migrar a flujos modernos compatibles con controles de sesión. Se recomienda restringir Azure CLI únicamente a usuarios que realmente lo necesiten, especialmente entre usuarios no administradores.

Ante un inicio de sesión exitoso tras patrones de spraying, los equipos de seguridad deben tratarlo como un posible compromiso, iniciando una respuesta a incidentes, invalidando sesiones y tokens, y forzando un cambio de credenciales. También es necesario rotar contraseñas reutilizadas, reforzar políticas de contraseña y activar mecanismos de bloqueo inteligente. Se recomienda vigilar picos de fallos ligados a Azure CLI, endpoints de emisión de tokens y rangos IPv6 o ASNs anómalos, con alertas que identifiquen el reparto de intentos entre muchas cuentas.

Esta campaña se enmarca en un repunte más amplio del credential spraying, con un incremento superior a 155 veces en volumen observado en los últimos meses. En entornos en la nube, la identidad constituye el perímetro de seguridad principal, un aspecto que los atacantes explotan de manera sistemática.

Con Información de unaaldia.hispasec.com

Editor

Redacción.

Deja tu comentario