Storm-2949 Explota el Restablecimiento de Contraseña de Microsoft 365 para Vaciar Datos en la Nube

Storm-2949 Explota el Restablecimiento de Contraseña de Microsoft 365 para Vaciar Datos en la Nube

Microsoft ha publicado detalles sobre una sofisticada campaña de múltiples etapas llevada a cabo por un actor de amenazas rastreado como Storm-2949, dirigida a organizaciones que utilizan entornos de Microsoft 365 y Azure. Lo que hace especialmente llamativo este ataque a las credenciales en la nube de Microsoft 365 es el punto de entrada: una funcionalidad que la mayoría de los administradores consideran rutinaria y de bajo riesgo, concretamente el restablecimiento de contraseña de autoservicio (SSPR, por sus siglas en inglés). Una vez dentro, los atacantes se movieron discretamente por OneDrive, SharePoint y bases de datos SQL, extrayendo datos de alto valor antes de ser detectados.

Esta campaña es un recordatorio claro de que las plataformas en la nube solo son tan seguras como las configuraciones y suposiciones construidas a su alrededor.

Cómo Storm-2949 Convirtió el Restablecimiento de Contraseña de Autoservicio en un Arma

El restablecimiento de contraseña de autoservicio es una funcionalidad de conveniencia ampliamente implementada. Permite a los empleados recuperar el acceso a sus cuentas sin contactar con el departamento de TI, reduciendo la carga del servicio de asistencia y el tiempo de inactividad. La mayoría de los equipos de seguridad lo consideran inofensivo. Storm-2949 lo trató como una puerta.

Al abusar de la funcionalidad SSPR, el actor de amenazas pudo comprometer las identidades de los usuarios sin necesidad de descifrar contraseñas mediante fuerza bruta ni desplegar malware. El ataque aprovechó las debilidades en la configuración o verificación del SSPR, lo que permitió al grupo tomar el control de cuentas legítimas. Una vez restablecidas las credenciales y establecido el acceso, los atacantes se mezclaron con la actividad normal del usuario, haciendo que la detección basada en el comportamiento fuera mucho más difícil.

Este enfoque es notable porque elude muchas de las señales que las herramientas de seguridad de endpoints están diseñadas para detectar. No hay ningún ejecutable malicioso, ninguna descarga sospechosa, ninguna firma de intrusión obvia. El atacante simplemente inicia sesión como un usuario válido.

Qué Datos Quedaron Expuestos — y Por Qué el Almacenamiento en la Nube es un Objetivo de Alto Valor

Después de obtener el acceso inicial, Storm-2949 se movió por el ecosistema de Microsoft 365 y Azure con un objetivo claro: extraer la mayor cantidad posible de datos de alto valor. OneDrive y SharePoint, utilizados en la mayoría de los entornos empresariales para el almacenamiento de documentos y la colaboración, fueron los objetivos principales. También se accedió a bases de datos SQL conectadas a la infraestructura de Azure y se exfiltraron sus datos.

La magnitud de lo que las organizaciones modernas almacenan en estos servicios los convierte en un foco obvio para actores de amenazas sofisticados. Contratos comerciales, registros financieros, datos de clientes, comunicaciones internas e investigaciones patentadas se alojan con frecuencia en SharePoint u OneDrive. Las bases de datos SQL conectadas a Azure a menudo contienen datos operativos estructurados que pueden monetizarse o utilizarse para ataques posteriores.

Este patrón refleja de cerca lo que se ha observado en otros incidentes de recolección de credenciales a gran escala. El ataque de vishing de ShinyHunters que expuso 40 millones de registros de Charter Communications siguió una lógica similar: conseguir un acceso de apariencia legítima y luego extraer la mayor cantidad de datos posible antes de que los defensores respondan. El almacenamiento en la nube consolida un valor enorme en un solo lugar, que es precisamente lo que lo convierte en un objetivo.

Por Qué los Ataques Basados en Credenciales Eluden las Defensas Tradicionales

La arquitectura de seguridad tradicional se construyó sobre la idea de que los atacantes irrumpen. Explotan vulnerabilidades de software, despliegan malware o interceptan el tráfico de red. Las defensas perimetrales, las herramientas antivirus y los sistemas de detección de intrusiones se diseñaron para detectar esos comportamientos.

Los ataques basados en credenciales invierten esa suposición. El atacante no irrumpe, entra caminando. Cuando Storm-2949 usa SSPR para tomar el control de una cuenta legítima, cada acción posterior parece el trabajo normal de ese usuario. Los registros de acceso a archivos muestran una identidad reconocida. El tráfico de red se origina en servicios esperados. Los umbrales de alerta ajustados para detectar comportamientos anómalos pueden no dispararse nunca.

Esta es la misma categoría de riesgo que hace que las vulnerabilidades de los navegadores y las plataformas sean tan peligrosas. Investigadores en Pwn2Own Berlín 2026 demostraron cómo los días cero de Windows 11 y Edge podían encadenarse para obtener un acceso profundo al sistema, lo que ilustra que incluso las plataformas confiables y generalizadas presentan debilidades explotables. La campaña de Storm-2949 demuestra que la infraestructura de identidad en la nube conlleva la misma categoría de riesgo.

Una vez que los atacantes establecen un punto de apoyo a través de la identidad en lugar de exploits, la contención se vuelve significativamente más compleja.

Mitigaciones Prácticas: MFA, Registros de Auditoría y una Configuración Más Inteligente de la Nube

La campaña de Storm-2949 señala pasos concretos que las organizaciones y los individuos pueden tomar para reducir la exposición.

Audite la configuración de SSPR. Si el restablecimiento de contraseña de autoservicio está habilitado, compruebe qué métodos de verificación se requieren. Las opciones de recuperación basadas en teléfono pueden ser interceptadas o manipuladas mediante ingeniería social. Exigir múltiples factores, o restringir SSPR solo a dispositivos gestionados, eleva significativamente el listón para los atacantes.

Imponga MFA resistente al phishing en todas las cuentas. La autenticación multifactor estándar basada en SMS ofrece una protección real, pero sigue siendo vulnerable al intercambio de SIM y a ciertas tácticas de ingeniería social. Las llaves de seguridad de hardware o los autenticadores basados en aplicaciones que utilizan los estándares FIDO2 son considerablemente más difíciles de abusar.

Revise las políticas de acceso condicional. Tanto Microsoft 365 como Azure ofrecen controles de acceso condicional que pueden restringir los inicios de sesión en función del cumplimiento del dispositivo, la ubicación y las señales de riesgo. Muchas organizaciones tienen estas funciones disponibles pero no las utilizan.

Supervise patrones anómalos de acceso a datos. Incluso cuando un atacante usa credenciales legítimas, el acceso a cientos de documentos de SharePoint o la descarga de grandes volúmenes de archivos de OneDrive en un breve período debería activar alertas. Configurar Microsoft Defender for Cloud Apps o herramientas de supervisión equivalentes para marcar el acceso masivo a datos es una capa de detección práctica.

Considere protecciones a nivel de red para el acceso a la nube. Usar una VPN para imponer que el acceso a los servicios en la nube se realice solo a través de rutas de red conocidas y supervisadas puede ayudar a limitar la superficie de ataque para el uso indebido de credenciales desde ubicaciones desconocidas.

Qué Significa Esto Para Usted

Tanto si gestiona un gran entorno empresarial como si usa Microsoft 365 personalmente para trabajar, la campaña de Storm-2949 ilustra que la seguridad en la nube no es una funcionalidad activada por defecto. Plataformas como Microsoft 365 y Azure proporcionan potentes herramientas de seguridad, pero esas herramientas requieren una configuración deliberada y una supervisión continua para ser efectivas.

Si su organización depende del almacenamiento en la nube para datos confidenciales, ahora es el momento de auditar sus controles de identidad y acceso. Específicamente, revise quién tiene habilitado SSPR, cómo se verifica, si MFA se aplica de manera consistente y si la supervisión del acceso a datos está activa.

Suponer que la plataforma gestiona la seguridad automáticamente es exactamente la postura que esta campaña explotó. Dedicar unas horas a revisar los controles de acceso es un coste mucho menor que descubrir que los datos de su OneDrive o SharePoint han sido exfiltrados silenciosamente durante días o semanas.