Las aplicaciones SaaS como Microsoft 365 y Google Workspace son herramientas esenciales para la productividad, la comunicación y la colaboración modernas, lo que las convierte en objetivos atractivos para los ciberdelincuentes. Según una investigación reciente, las brechas de SaaS aumentaron un 300 % entre septiembre de 2023 y 2024.
Hoy en día, muchas empresas aplican medidas estrictas, como los tokens de seguridad, para impedir que los atacantes accedan a sus sistemas y datos. Estos tokens van más allá de las contraseñas y refuerzan aún más la seguridad al autenticar y autorizar a los usuarios en la autenticación de dos factores (2FA) y la autenticación multifactorial (MFA). Sin embargo, los ciberdelincuentes han encontrado nuevos métodos para robar estos tokens y eludir la autenticación multifactorial.
Este mismo año, un MSP en Reddit que el correo electrónico de Microsoft 365 de un cliente había sido pirateado a pesar de que la autenticación de dos factores (MFA) estaba activada, y preguntó a la comunidad cómo habían conseguido los atacantes eludirla.
Detectar y solucionar automáticamente las amenazas de seguridad de los servicios SaaS
Con Kaseya SaaS Alerts detectar infracciones, crear alertas instantáneas y bloquear las cuentas afectadas, lo que te permite responder rápidamente a los incidentes de seguridad de SaaS
ComenzarLos ciberdelincuentes son cada vez más sofisticados y utilizan técnicas como el robo de tokens y el secuestro de sesiones para eludir la MFA. Sin embargo, muchas empresas y proveedores de servicios no son plenamente conscientes de estos métodos de ataque.
En este artículo, analizaremos en profundidad qué es el robo de tokens, cómo funciona y qué puedes hacer para proteger tus entornos SaaS, a tus usuarios finales y tus datos.
¿Qué es el robo de fichas?
El robo de tokens consiste en el robo de tokens de sesión o claves cifradas digitalmente para obtener acceso no autorizado a cuentas o sistemas. El robo de tokens supone una grave amenaza para las organizaciones, ya que, una vez que los piratas informáticos capturan los tokens de inicio de sesión, pueden suplantar la identidad de un usuario o acceder a información confidencial, incluso cuando se utilizan contraseñas o la autenticación multifactorial (MFA).
Tradicionalmente, los usuarios introducen su nombre de usuario y contraseña cada vez que desean acceder a un servicio o sistema. Los usuarios que utilizan la autenticación basada en tokens inician sesión una sola vez, y las credenciales se verifican mediante procesos como la autenticación multifactorial (MFA). Tras el inicio de sesión inicial, el sistema emite un token seguro (como una llave digital) que demuestra que el usuario está autenticado y permite el acceso a los recursos protegidos durante un periodo determinado. Los ciberdelincuentes tratan de aprovecharse de esto robando tokens de sesión válidos.
Entre los tipos más comunes de tokens que se utilizan en los sistemas modernos de autenticación y seguridad se incluyen los tokens de hardware, como las llaves de seguridad FIDO 2; los tokens de software, como Google Authenticator o Microsoft Authenticator; y los tokens de acceso, API, de identificación y de actualización.
Cómo funciona el robo de fichas y métodos utilizados
Los tokens robados permiten a los piratas informáticos eludir controles de seguridad como las contraseñas y la autenticación multifactorial (MFA), suplantar la identidad de los usuarios y acceder a cuentas o sistemas.
Cuando un usuario inicia sesión en una aplicación SaaS, como Microsoft 365 o Google Workspace, el sistema genera un token de autenticación (un token web JSON (JWT) o una cookie de sesión). Este token permite al usuario acceder a la aplicación y a sus recursos sin necesidad de realizar múltiples inicios de sesión sucesivos. Se almacena en el dispositivo del usuario (en el almacenamiento del navegador, en la memoria o en cookies de sesión) para mantener al usuario autenticado y conservar una conexión activa.
Si los atacantes logran robar este token mientras sigue siendo válido, pueden introducirlo en sus propios navegadores o herramientas y obtener acceso inmediato a la cuenta del usuario. A continuación, pueden suplantar la identidad del usuario, robar información confidencial o llevar a cabo actividades maliciosas. En resumen, los atacantes se apropian de la sesión del usuario.
Métodos habituales para robar fichas
Phishing
Los atacantes envían correos electrónicos de phishing que contienen enlaces o archivos adjuntos maliciosos. Al hacer clic en esos enlaces, los usuarios son redirigidos a sitios de phishing diseñados para imitar páginas de inicio de sesión reales. Los atacantes utilizan kits de phishing AiTM que capturan tanto las credenciales de inicio de sesión como los tokens, lo que les permite eludir la MFA.
Malware y ladrones de información
Los ciberdelincuentes utilizan software malicioso, como RedLine o Raccoon Stealer, para extraer tokens y cookies de sesión del navegador o los dispositivos de los usuarios. El malware analiza el almacenamiento del navegador y la memoria de las aplicaciones en busca de tokens que puedan ser sustraídos.
Ataques MitM
En este tipo de ataques, los atacantes interceptan las comunicaciones de red para capturar tokens en tránsito. Se sitúan entre el objetivo y el servicio SaaS (por ejemplo, Microsoft 365). Utilizan herramientas como Evilginx (un servidor proxy inverso) que interceptan las sesiones de autenticación y capturan tokens de sesión válidos.
Reutilización de tokens y ataques de repetición
Una vez que los atacantes roban los tokens, pueden reutilizarlos varias veces para acceder a los sistemas sin necesidad de credenciales de inicio de sesión ni autenticación multifactorial (MFA). Estos métodos permiten a los atacantes reutilizar los tokens robados para suplantar la identidad de un usuario u obtener acceso no autorizado a un servicio de forma repetida hasta que los tokens caduquen o sean revocados.
Robo de token frente a secuestro de sesión: ¿Cuál es la diferencia?
El robo de tokens y el secuestro de sesión son vectores de ataque relacionados pero distintos y utilizan mecanismos diferentes.
El robo de tokens implica extraer o robar tokens de autenticación, como tokens OAuth, API o JWT. Por el contrario, el secuestro de sesión implica tomar el control de una sesión activa aprovechando un token de sesión robado o interceptado.
He aquí un rápido desglose de las diferencias entre el robo de tokens y el secuestro de sesión.
| Característica | Robo de fichas | Secuestro de sesión |
| Enfoque | Token de autenticación (OAuth, API, JWT) | ID de sesión o cookie |
| Método de ataque común | Phishing, malware, MiTM | Fuerza bruta, secuencias de comandos en sitios cruzados (XSS), MiTM, fijación de sesión |
| Alcance | Más amplio (API, móvil, aplicaciones web) | Normalmente centrado en la sesión web |
| Persistencia | De mayor duración (depende de la caducidad del token) | Sesión activa o hasta que expire la sesión |
Figura 1: Diferencia entre el robo de tokens y el secuestro de sesión
Riesgos y consecuencias del robo de fichas
El robo de tokens es una de las mayores amenazas a las que se enfrentan las empresas hoy en día. Los tokens robados permiten a los atacantes:
Evitar el MFA
Permite a los ciberdelincuentes eludir medidas de seguridad como las contraseñas e incluso la autenticación multifactorial (MFA). Esto les ayuda a obtener un acceso no autorizado y persistente sin activar las alertas de la MFA.
Acceso no autorizado a la cuenta
Los atacantes utilizan tokens robados para suplantar la identidad de los usuarios. Una vez que consiguen acceder a una cuenta, se dirigen a otras plataformas, como el correo electrónico, las redes sociales o las aplicaciones empresariales. Pueden desplazarse lateralmente dentro de un sistema o una red, o bien ampliar los privilegios de la cuenta para obtener permisos de mayor nivel y derechos administrativos.
Comprometer datos sensibles
Una vez que una cuenta se ve comprometida, los ciberdelincuentes pueden acceder a recursos confidenciales como datos de usuarios, registros financieros, correos electrónicos, chats y otros servicios en la nube. Esto puede dar lugar a una filtración masiva de datos desde plataformas SaaS como Microsoft 365 y Google Workspace. Los ciberdelincuentes utilizan la información robada para exigir un rescate. A menudo, los datos filtrados se venden en foros de la dark web con fines lucrativos.
Las consecuencias de estos riesgos podrían ser filtraciones de datos, pérdidas financieras, incumplimiento de la normativa y daños a la reputación.
Debido a los riesgos que conlleva, el Equipo de Detección y Respuesta de Microsoft (DART) analiza minuciosamente el robo de tokens y las tácticas utilizadas. El objetivo del DART de Microsoft es dotar a los equipos de TI y de seguridad de los conocimientos y las estrategias adecuados para hacer frente al robo de tokens de manera eficaz.
Buenas prácticas para evitar el robo de fichas
Aunque el robo de tokens es una amenaza compleja y moderna, hay ciertas medidas que puede tomar para mitigar este riesgo.
Políticas de acceso condicional
Las políticas de acceso condicional pueden aplicarse en entornos como Microsoft Entra ID, Azure AD y Google Workspace. Estas políticas evalúan el contexto del acceso, lo que puede ayudar a reducir el riesgo asociado al robo de tokens. Basándose en reglas predefinidas, las políticas de acceso condicional comprueban múltiples factores —como la identidad del usuario, el estado de cumplimiento del dispositivo, la ubicación o la dirección IP, la aplicación a la que se accede y las evaluaciones de riesgo en tiempo real— antes de conceder el acceso.
Informar a los usuarios
Aunque los empleados son el mayor activo de una organización, los comportamientos de riesgo de los usuarios siguen siendo uno de los eslabones más débiles de la ciberseguridad. En 2024, más del 90 % de las filtraciones de datos se debieron a errores humanos.
Aproveche las soluciones de formación en concienciación sobre seguridad y de evaluación de la vulnerabilidad de los usuarios, como BullPhish ID un componente esencial de Kaseya 365 User), para enseñar a los usuarios a identificar los correos electrónicos de phishing y las páginas de inicio de sesión falsas. Infórmeles sobre los riesgos que conlleva hacer clic en enlaces desconocidos, reutilizar contraseñas y utilizar Wi-Fi públicas Wi-Fi una VPN.
Passkeys o llaves hardware
Utiliza claves de acceso o llaves de hardware, como las llaves de seguridad FIDO 2, las claves de acceso de Microsoft Authenticator y las claves de acceso de Google. Estas aportan una capa adicional de protección, ya que para acceder a la clave privada es necesario utilizar Face ID, la huella dactilar o el PIN del dispositivo. Las claves de acceso ofrecen un mecanismo de autenticación más fiable y fácil de usar frente a ciberamenazas como el robo de tokens.
Cómo Kaseya 365 User ayuda a prevenir el robo de tokens
Dado que los ciberdelincuentes y sus tácticas siguen evolucionando rápidamente, las empresas necesitan una estrategia de defensa sólida y por capas para proteger sus entornos SaaS, a los usuarios finales y los datos en todos los niveles.
Kaseya 365 User es una solución integral basada en suscripción que incluye todos los componentes esenciales de ciberseguridad para proteger su entorno de Microsoft 365 o Google Workspace. Desde la detección de actividades sospechosas en tiempo real y la respuesta automática a las amenazas, hasta el bloqueo de correos electrónicos de phishing antes de que lleguen a las bandejas de entrada de los empleados y la realización de copias de seguridad y la recuperación de sus datos SaaS de forma segura, Kaseya 365 User le ofrece toda la protección que necesita.
Nuestra solución de seguridad revoca automáticamente los tokens de sesión para bloquear el acceso no autorizado y restablece las contraseñas cuando se detecta un ataque. Correlaciona la actividad de los dispositivos, como los patrones de inicio de sesión, con la actividad de las cuentas para aumentar la probabilidad de detectar vulneraciones de seguridad. Al cotejar los datos de los dispositivos con los de las aplicaciones SaaS, garantiza que solo los usuarios autorizados que utilicen dispositivos autorizados puedan acceder a las aplicaciones SaaS críticas de su organización.
Descubra cómo Kaseya 365 User le ayuda a prevenir los ataques de robo de tokens, a responder ante ellos y a recuperarse de ellos. Más información.
