Ataque Masivo a Microsoft 365. La Ciberseguridad en jaque

Ataque Masivo a Microsoft 365. La Ciberseguridad en jaque

2 de septiembre de 2025 Borja Monje Comments Off

En los últimos meses ha aparecido una alarma que debería preocupar a cualquier organización que confíe su correo y sus documentos a Microsoft 365. Investigadores de la firma de ciberseguridad SecurityScorecard han descubierto una red de más de 130 000 dispositivos comprometidos que está llevando a cabo ataques de password spraying a gran escala contra cuentas de Microsoft 365.

Estos ataques utilizan inicios de sesión no interactivos con autenticación básica (Basic Auth) para eludir las protecciones modernas y la autenticación multifactor (MFA). La magnitud y sofisticación del esquema, ha provocado accesos masivos, bloqueos de cuentas y robos de información en organizaciones de todo el mundo.

En este artículo te explicamos en qué consiste, qué es una botnet y cómo funciona esta campaña, así como cuáles son sus consecuencias y qué medidas de ciberseguridad recomiendan los expertos.

¿Qué podemos encontrar?

¿Qué es una Botnet y por qué deberías temerla?

Una botnet es una red de dispositivos comprometidos – desde ordenadores, servidores a incluso routers – que un atacante controla de forma remota. Al infectarlos con malware, los delincuentes convierten cada equipo en un “bot” que ejecuta órdenes sin conocimiento de su propietario.

Estas botnets se utilizan para lanzar ataques distribuidos como envíos masivos de spam, minería ilícita de criptomonedas o campañas de fuerza bruta (esto es, realizar otros intentos de intrusión). El peligro radica en que cualquier dispositivo conectado a internet puede estar participando en una botnet sin que el usuario lo sepa, y su capacidad combinada permite asaltar miles de cuentas simultáneamente.

Las brechas de ciberseguridad pueden ser demoledores para una empresa

Más de 130.000 dispositivos. ¡Un gran crimen de Ciberseguridad!

La investigación de SecurityScorecard aporta varios hallazgos inquietantes:

Botnet masiva: Un análisis de tráfico de cuatro horas mostró que los servidores se comunicaban con más de 130 000 dispositivos comprometidos. Consistía, además en una botnet que lleva operativa desde diciembre de 2024.
Procedencia y proveedores: El tráfico malicioso se canaliza a través de proveedores como UCLOUD HK y CDS Global Cloud, con enlaces operativos a China, y a través de la infraestructura de SharkTech en Estados Unidos. Los servidores C2 tienen la zona horaria configurada como Asia/Shanghai, lo que refuerza la hipótesis de una autoría china.

Uso de credenciales robadas: Los operadores de la botnet emplean credenciales obtenidas por malware de robo de información para intentar acceder a diferentes inquilinos de Microsoft 365. La cual disminuye los bloqueos por intentos fallidos y aumenta la probabilidad de comprometer cuentas.

Aunque la atribución definitiva todavía está en marcha, todas las fuentes advierten de una campaña coordinada y de alcance mundial.

¡Por ello es más necesaria que nunca la inversión en ciberseguridad!

¿Cómo se elude la Autentificación Multifactor?

El elemento más alarmante de esta campaña es su capacidad para evadir la autenticación multifactor (También conocida como MFA) mediante técnicas aparentemente legítimas:

1. Inicios de sesión no interactivos: Los atacantes utilizan servicios heredados de correo junto con procesos automatizados que realizan autentificaciones non‑interactive. Estos inicios no exigen que el usuario introduzca un factor de autenticación adicional, lo que no desencadena los mecanismos multifactor en muchas configuraciones.

2. Autenticación básica: La botnet se basa en un método obsoleto en el que las credenciales se envían en texto plano. Aunque Microsoft está eliminando progresivamente esta tecnología, muchos entornos aún la permiten. Esto convierte las cuentas en un objetivo fácil para los ataques de fuerza bruta. La campaña explota este hueco para probar miles de contraseñas sin activar alertas.

3. Registro en logs invisibles: Los intentos de acceso se registran en los logs de inicio de sesión no interactivo, que suelen pasar desapercibidos para las empresas. Al dirigir sus ataques a través de estos flujos de autenticación, los delincuentes logran ocultar su actividad y evitar los mecanismos de monitorización habituales.

Consecuencia para las empresas españolas ¡Protégete!

La utilización de una botnet de estas dimensiones provoca múltiples impactos que trascienden el simple acceso no autorizado:

Compromiso de cuentas y robo de datos: Al obtener acceso a buzones de correo y repositorios de documentos, los atacantes pueden filtrar información sensible, contratos, planes estratégicos y datos personales. Además, pueden enviar mensajes fraudulentos desde cuentas legítimas, incrementando la eficacia de sus ataques de phishing.
Interrupción del negocio: Los intentos de inicio masivo generan bloqueos de cuentas y degradación de servicios. Esto afecta a la productividad e incluso puede paralizar operaciones esenciales, e incluso jugar detrimentalmente en contra a nivel fiabilidad con tus clientes.
Movimiento lateral y persistencia: Una vez dentro, los atacantes pueden pivotar hacia otros sistemas corporativos y escalar privilegios, abriendo la puerta a ataques de ransomware o robo de propiedad intelectual
Sectores más vulnerables: Empresas de servicios finan.cieros, sanidad, administraciones públicas y proveedores tecnológicos que dependen de Microsoft 365 están especialmente expuestas.

¿Qué medidas puedo tomar para asegurar mi negocio?

Los expertos recomendamos adoptar una serie de medidas urgentes para mitigar el riesgo, entre ellas, algunas de las que puedes realizar son:

Monitorear los logs no interactivos: Revisar regularmente los logs de inicio de sesión no interactivo para detectar intentos sospechosos.
Rotar y proteger credenciales: Implementar una gestión de contraseñas robusta, exigir contraseñas complejas y cambiar periódicamente las credenciales, en especial si se detecta actividad sospechosa.
Seguridad en la cadena de suministro: Evaluar a proveedores y socios tecnológicos para asegurarse de que no utilizan servicios inseguros y que sus infraestructuras cumplen con buenas prácticas.

Implementar estas recomendaciones reduce significativamente la efectividad de cualquier ataque. Sin embargo, muchas organizaciones carecen de los recursos o la experiencia necesaria para configurarlas adecuadamente.

Ahí es donde nuestros servicios marcan la diferencia.

¡Podemos ayudarte en la Ciberseguridad de tu empresa!

En Smart Computing somos especialistas en ciberseguridad y administración de entornos web de toda clase. Ante la creciente amenaza de botnets, malware y ramsonware, ofrecemos soluciones integrales para proteger a tu empresa:

Auditoría de seguridad: Revisamos la configuración de autenticación de tus credenciales empresariales y revisamos los logs de actividades no interactivas regularmente, así detectamos posibles brechas.
Implementación de MFA y acceso condicional: Configuramos políticas avanzadas de acceso para detener los inicios de sesión no autorizados y adaptarlas a las necesidades de tu negocio.
Desactivación de servicios inseguros: Identificamos y eliminamos protocolos heredados que puedan ser explotados por los atacantes.
Monitorización continua y respuesta a incidentes: Utilizamos herramientas de detección y respuesta que analizan patrones de inicio de sesión y alertan ante comportamientos anómalos. En caso de incidente, nuestro equipo de expertos proporciona contención rápida.

No permitas que tu empresa sea la siguiente víctima. Cada día sin protección aumenta el riesgo de que tus cuentas estén siendo utilizadas sin tu permiso.

Solicita tu revisión con nosotros para obtener una evaluación gratuita de tu entorno digital y descubre cómo podemos blindar tu empresa ante amenazas como esta.

L	M	X	J	V	S	D
						1
2	3	4	5	6	7	8
9	10	11	12	13	14	15
16	17	18	19	20	21	22
23	24	25	26	27	28