馃敀 Protege tu organizaci贸n: C贸mo deshabilitar la autenticaci贸n por c贸digo de dispositivo en Microsoft 365 para evitar el phishing

PorSebastian

驴Sab铆as que un mecanismo de autenticaci贸n leg铆timo de Microsoft 365 podr铆a estar dejando la puerta abierta a ciberataques persistentes? Hablamos del flujo de autenticaci贸n por c贸digo de dispositivo. Aunque est谩 dise帽ado para facilitar el acceso desde dispositivos sin teclado, los atacantes lo han convertido en una poderosa herramienta para el phishing, como lo demuestra la campa帽a Storm-2372. En este art铆culo, te explicaremos por qu茅 este flujo representa un riesgo y, lo m谩s importante, c贸mo puedes deshabilitarlo de forma segura para proteger tu organizaci贸n.

驴Qu茅 es el phishing por c贸digo de dispositivo y por qu茅 es tan efectivo?

Imagina que recibes un correo electr贸nico o un mensaje de chat que parece ser de Microsoft Teams o WhatsApp, pidi茅ndote que ingreses un c贸digo en una p谩gina de login oficial, como microsoft.com/devicelogin. A primera vista, la URL es leg铆tima y la solicitud parece inofensiva. Sin embargo, lo que no sabes es que un atacante ha iniciado un flujo de autenticaci贸n en su propio dispositivo y te est谩 enga帽ando para que ingreses el c贸digo que le corresponde.

Al hacerlo, sin darte cuenta, no solo le das acceso a tu cuenta, sino que tambi茅n autorizas su dispositivo para que se conecte a tu identidad en Microsoft Entra ID. Esto le permite al atacante obtener tokens de acceso y de actualizaci贸n (refresh tokens), los cuales puede usar para:

  • Acceder de forma persistente a tus datos en Microsoft 365 (correos, documentos, etc.).
  • Registrar su dispositivo como si fuera uno leg铆timo de tu empresa.
  • Evadir el MFA tradicional (como los c贸digos SMS o las notificaciones push) porque una vez que el dispositivo est谩 autorizado, ya no se requiere una nueva autenticaci贸n para cada acceso.

Esta t茅cnica es particularmente peligrosa porque se aprovecha de la confianza del usuario en una URL leg铆tima y elude los controles de seguridad que dependen de la autenticaci贸n directa con nombre de usuario y contrase帽a.

Soluci贸n: Deshabilita el flujo de autenticaci贸n con una pol铆tica de acceso condicional

La forma m谩s efectiva de mitigar este riesgo es deshabilitar por completo el flujo de autenticaci贸n por c贸digo de dispositivo en tu tenant de Microsoft 365. Puedes lograr esto de forma sencilla y segura utilizando una pol铆tica de acceso condicional en Microsoft Entra ID.

Sigue estos pasos para crear la pol铆tica:

  1. Inicia sesi贸n en el Centro de administraci贸n de Microsoft Entra (https://entra.microsoft.com) con una cuenta que tenga permisos de Administrador de acceso condicional.
  2. Navega a Entra ID > Acceso condicional > Pol铆ticas.
  3. Haz clic en Nueva pol铆tica.
  4. En la secci贸n de Asignaciones:
  • Selecciona Todos los usuarios e incluye tambi茅n las cargas de trabajo de identidad.
  • Excluye las cuentas de emergencia (break-glass accounts) para evitar un bloqueo accidental en caso de que necesites acceso de emergencia.
  1. En la secci贸n de Recursos de destino:
  • Elige Todas las aplicaciones en la nube.
  1. En la secci贸n de Condiciones:
  • Haz clic en Flujos de autenticaci贸n.
  • Establece la opci贸n en S铆 y selecciona Flujo de c贸digo de dispositivo.
  1. En la secci贸n de Controles de acceso:
  • Elige Conceder y luego selecciona Bloquear acceso.
  1. Antes de activarla, pon la pol铆tica en modo Solo informe para evaluar el impacto sin que afecte a los usuarios. Una vez que hayas verificado que no hay problemas, c谩mbiala a Activar.

Recomendaciones adicionales para fortalecer tu seguridad

Deshabilitar el flujo de autenticaci贸n por c贸digo de dispositivo es un paso fundamental, pero la seguridad de tu organizaci贸n es un proceso continuo. Aqu铆 tienes otras recomendaciones clave para complementar esta medida:

  • Educa a tus usuarios: Capacita a tus empleados para que reconozcan los correos y mensajes de phishing. Enfatiza que nunca deben ingresar un c贸digo de autenticaci贸n en una URL si ellos no han iniciado el proceso previamente.
  • Monitorea y audita: Revisa regularmente los logs de inicio de sesi贸n en Microsoft Entra ID para detectar cualquier actividad inusual o intentos de autenticaci贸n con c贸digos de dispositivo.

Al seguir estas pr谩cticas, no solo te proteges contra el phishing por c贸digo de dispositivo, sino que tambi茅n fortaleces la postura de seguridad de tu organizaci贸n, garantizando un entorno m谩s seguro para todos tus activos digitales.

驴Tienes preguntas sobre c贸mo implementar esta pol铆tica o sobre otros aspectos de la seguridad en Microsoft 365? 隆D茅janos un comentario!

Publicaciones Similares

Desbloquea el potencial de las Named Locations en Microsoft Entra ID

PorSebastian

Hace a帽os, cuando empec茅 mi aprendizaje con Microsoft Entra ID, las named locations eran solo para eximir IPs de las reglas de acceso condicional. 隆Pero ahora son mucho m谩s importantes! 馃挕 Ahora, este par谩metro es clave en el control de seguridad, 隆especialmente en la evaluaci贸n de usuarios y autenticaciones de riesgo (risky users, risky sign-ins)…

A un a帽o del evento Crowdstrike de 2024

PorSebastian

Hace un a帽o, el 18 de聽 julio de 2024,聽 me toc贸 atender los efectos de la publicaci贸n por Crowdstrike de una actualizaci贸n de seguridad de su producto Falcon que dej贸 inoperantes a los equipos Windows que hac铆an uso de esta conocida herramienta. En conmemoraci贸n del evento, Crowdstrike public贸 las mejoras que ha realizado desde el…

Vulnerabilidad Cr铆tica en WSUS: Acci贸n Inmediata Requerida

PorSebastian

Microsoft ha revelado una vulnerabilidad cr铆tica de ejecuci贸n remota de c贸digo (CVE-2025-59287, con una calificaci贸n de 9.8) en Windows Server Update Service (WSUS). Aunque inicialmente se public贸 un parche el 14 de octubre de 2025, 茅ste no abord贸 completamente el problema, lo que llev贸 a la emisi贸n de un parche de emergencia el 23 de…

Protecci贸n de tokens disponible para Microsoft Entra ID P1

PorSebastian

Recientemente Microsoft ha reforzado sus defensas al integrar la protecci贸n de tokens a trav茅s de reglas de acceso condicional en el licenciamiento de Microsoft Entra ID P1. Esta es una buen铆sima noticia para todas las organizaciones que buscan fortalecer su seguridad en la nube y proteger a sus usuarios de Microsoft 365. Esto es importante…

M365 Business Premium Administrado por Expertos: La Ciberseguridad al Alcance de tu SMB.

PorSebastian

Resumen En Greenfence Security (GFS) la confianza que han tenido nuestros clientes en nosotros para que les evaluemos su postura de seguridad ha dado lugar a que los clientes nos pidan que administremos sus entornos corporativos en nube, espec铆ficamente los entornos Microsoft 365 (M365). En este art铆culo nos vamos a centrar en que una instalaci贸n…

Control Granular de Acceso de聽 Aplicaciones a Sharepoint Online

PorSebastian

Introducci贸n Hist贸ricamente, las aplicaciones que necesitaban acceder a SharePoint obten铆an permisos a nivel de todo el inquilino (tenant), lo que significaba que una aplicaci贸n con acceso a SharePoint pod铆a acceder a todos los sitios dentro de ese inquilino. Esta estrategia de 芦todo o nada禄 no se alineaba con el principio de privilegio m铆nimo y generaba…

Deja una respuesta

Tu direcci贸n de correo electr贸nico no ser谩 publicada. Los campos obligatorios est谩n marcados con *