Se ha identificado una sofisticada campaña que comprometió Microsoft Entra ID utilizando protocolos de autenticación heredados, la cual estuvo activa entre el 18 de marzo y el 7 de abril de 2025.
Los atacantes explotaron específicamente métodos de autenticación obsoletos para eludir los controles de seguridad modernos, estableciendo una preocupante puerta trasera en los entornos empresariales.
Estas tácticas permitieron a los actores de amenazas evadir las políticas de autenticación multifactor (MFA) y de acceso condicional, que son medidas de seguridad fundamentales en las que las organizaciones confían para proteger sus activos digitales.
Los protocolos de autenticación heredados, entre ellos BAV2ROPC, SMTP AUTH, POP3 e IMAP4, persisten como objetivos vulnerables debido a su inherente carencia de características de seguridad modernas.
Aunque Microsoft ha desaprobado o deshabilitado muchos de estos métodos obsoletos, numerosas organizaciones aún los mantienen por razones de continuidad del negocio o para dar soporte a sistemas legados.
Esta deuda técnica crea una brecha de seguridad significativa a la que los actores maliciosos atacan cada vez más con ataques sofisticados.
Los investigadores de Guardz identificaron una campaña coordinada que reveló patrones alarmantes en docenas de direcciones IP únicas.
Su análisis mostró evidencia de pulverización automatizada de credenciales y técnicas de fuerza bruta diseñadas específicamente para explotar estos puntos finales heredados.
El equipo de investigación documentó más de 9.000 intentos sospechosos de iniciar sesión en Exchange en un período de tres semanas, y los ataques se originaron principalmente en las regiones de Europa del Este y Asia-Pacífico.
La campaña demostró una planificación y ejecución cuidadosas, comenzando con actividades de reconocimiento de bajo volumen antes de escalar a ataques diarios sostenidos.
La operación alcanzó su máxima intensidad entre el 4 y el 7 de abril, cuando los investigadores registraron 8.534 intentos en un solo día.
Lo más preocupante fue el hallazgo de que aproximadamente el 90 por ciento de estos ataques se dirigieron específicamente a Exchange Online, lo que indica una estrategia deliberada para acceder a las comunicaciones por correo electrónico y potencialmente recopilar información confidencial y tokens de autenticación.
El núcleo de esta campaña radicó en la explotación de BAV2ROPC (Autenticación básica versión 2, credencial de contraseña del propietario del recurso), un protocolo obsoleto concebido originalmente para facilitar la transición de las aplicaciones a OAuth 2.0.
Este protocolo opera mediante la conversión de los inicios de sesión tradicionales con nombre de usuario y contraseña en acceso basado en tokens a través de un proceso no interactivo.
Cuando una aplicación utiliza BAV2ROPC, simplemente envía las credenciales a Entra ID, que posteriormente emite tokens sin intervención del usuario, eludiendo por completo el flujo de autenticación habitual que activaría desafíos de MFA o evaluaciones de acceso condicional.
La implementación se efectúa mediante un envío directo de credenciales, donde el código de la aplicación remite las credenciales de nombre de usuario y contraseña directamente al servicio de autenticación.
Este proceso se desarrolla sin la presentación de pantallas de inicio de sesión ni la generación de las alertas de seguridad que ordinariamente acompañarían a los intentos de autenticación.
La naturaleza discreta de este protocolo lo convierte en una técnica de movimiento lateral particularmente peligrosa una vez que las credenciales iniciales han sido comprometidas mediante phishing u otros métodos.
Notablemente, los atacantes se enfocaron principalmente en cuentas administrativas, y un subconjunto experimentó cerca de 10 000 intentos desde 432 direcciones IP distintas en tan solo 8 horas, lo que evidencia la naturaleza altamente automatizada y distribuida de la campaña.
