Una importante vulnerabilidad de seguridad en el Selector de Archivos de OneDrive de Microsoft ha dejado a millones de usuarios expuestos a accesos no autorizados a sus datos. Esta falla permite que aplicaciones web de terceros obtengan acceso completo a todo el almacenamiento de OneDrive de los usuarios, en lugar de limitarse a los archivos seleccionados.
Investigadores de seguridad de Oasis Security informaron el 28 de mayo de 2025 que la vulnerabilidad se origina en ámbitos de OAuth excesivamente amplios y pantallas de consentimiento poco claras que no comunican adecuadamente el alcance del acceso otorgado.
Cientos de aplicaciones web de uso común, como ChatGPT, Slack, Trello y ClickUp, se ven afectadas por este fallo del Selector de Archivos de OneDrive, lo que podría comprometer la seguridad de millones de usuarios.
La vulnerabilidad surge de la implementación por parte del selector de una granularidad insuficiente del alcance de OAuth, que solicita amplios permisos File Access.Read.All o Files.ReadWrite.All incluso cuando los usuarios intentan cargar o compartir un solo archivo.
A diferencia de competidores como Google Drive, que ofrece alcances OAuth detallados como drive.file para restringir el acceso a archivos creados por aplicaciones o seleccionados por el usuario, la implementación de Microsoft otorga acceso sin restricciones a todo el contenido de OneDrive.
Dropbox emplea un enfoque aún más seguro con su Chooser SDK, utilizando un punto final propietario que evita por completo los flujos de OAuth.
El cuadro de diálogo de consentimiento que se presenta a los usuarios es particularmente problemático, ya que no transmite que un clic otorga al integrador acceso a cada archivo y carpeta en el OneDrive del usuario, no solo al documento que deseaba compartir.
Las prácticas inseguras de almacenamiento de tokens en diferentes versiones del Selector de archivos de OneDrive agravan los riesgos de seguridad, se lee en el informe de Oasis Security.
Las versiones anteriores (6.0-7.2) utilizaban flujos de autenticación implícitos que exponían tokens de acceso confidenciales en fragmentos de URL o los almacenaban de forma insegura en el almacenamiento local del navegador.
La última versión (8.0) requiere que los desarrolladores manejen la autenticación utilizando la Biblioteca de autenticación de Microsoft (MSAL), pero aún almacena tokens en el almacenamiento de sesiones en texto sin formato.
La implementación del flujo de autorización de MSAL crea vulnerabilidades adicionales al emitir potencialmente tokens de actualización que extienden los períodos de acceso más allá del vencimiento típico del token de una hora.
Estos tokens de larga duración, cuando se almacenan en caché en localStorage o en bases de datos backend sin cifrado, crean vectores de ataque persistentes para que actores malintencionados accedan a repositorios completos de OneDrive.
La implementación técnica requiere que los desarrolladores soliciten permisos como MyFiles.Read, Sites.Read.All o Files.ReadWrite.All a través de permisos delegados, pero la falta de permisos específicos de archivos hace imposible limitar el acceso a documentos específicos.
Microsoft reconoció el informe de seguridad e indicó que «podría considerar mejoras en el futuro», aunque no ha proporcionado un cronograma específico.
Los expertos en seguridad recomiendan acciones inmediatas tanto por parte de los usuarios como de las organizaciones para mitigar los riesgos.
Para los usuarios individuales, los expertos recomiendan revisar el acceso a aplicaciones de terceros a través de la configuración de privacidad de la cuenta de Microsoft y revocar los permisos innecesarios.
Las organizaciones deben implementar políticas de consentimiento del administrador o controles de acceso condicional que bloqueen las aplicaciones que soliciten algo más allá de los permisos Files.Read.
Se recomienda encarecidamente a los desarrolladores de aplicaciones web que eviten solicitar ámbitos de acceso sin conexión que generen tokens de actualización y que adopten prácticas de almacenamiento seguro de tokens.
Asimismo, los equipos de seguridad deben monitorear los registros de Graph API y Cloud Access Security Broker (CASB) para identificar cualquier patrón anómalo en el acceso a OneDrive.
