Netcrook Logo
👤 CIPHERWARDEN
🗓️ 18 Oct 2025   🗂️ Threats    

Shadow Tokens: La vulnerabilidad de Microsoft Entra ID que permitió a los hackers convertirse en administradores globales

Una vulnerabilidad oculta en la plataforma de identidad en la nube de Microsoft expuso las llaves del reino - sin alarmas, sin registros, solo acceso silencioso para posibles atacantes.

Datos Rápidos

  • Microsoft parcheó una falla crítica en Entra ID (Azure AD), CVE-2025-55241, que permitía la suplantación de administradores entre inquilinos.
  • El error fue minimizado inicialmente, pero luego se reveló que permitía a los atacantes tomar el control de cualquier cuenta, incluidos los Administradores Globales.
  • Los “tokens de actor”, diseñados para servicios backend, eludían los controles de seguridad estándar y dejaban casi ningún rastro en los registros.
  • Microsoft solucionó el problema en pocos días, pero los expertos advierten sobre riesgos más amplios en los modelos de confianza de identidad en la nube.
  • No se encontró evidencia de explotación, pero el incidente resalta los peligros de las funciones no documentadas en infraestructuras críticas.

La Llave Maestra Invisible

Imagina una llave maestra capaz de abrir cualquier puerta en una vasta ciudad digital, y que nadie sepa que fue utilizada. Eso es lo que el investigador de ciberseguridad Dirk-Jan Mollema descubrió oculto en la plataforma Azure Entra ID de Microsoft a principios de este año. Mientras se preparaba para una conferencia, se topó con una falla tan grave que permitía a los atacantes suplantar a cualquier persona - incluso al todopoderoso Administrador Global - a través de cualquier organización que usara los servicios en la nube de Microsoft.

Cómo se Escapó la Falla

En el centro del problema estaban los “tokens de actor”, pases digitales especiales destinados a servicios backend, no a personas. Estos tokens, no documentados y poco comprendidos fuera de Microsoft, pasaban por alto defensas habituales como el Acceso Condicional, que normalmente verifica quién inicia sesión y desde dónde. Una vez obtenidos, estos tokens otorgaban 24 horas de acceso sin restricciones, sin forma de revocarlos y casi sin registros de su uso. La antigua API Azure AD Graph, un remanente de los primeros días de la nube de Microsoft, no verificaba de dónde provenían estos tokens. Modificando algunos identificadores, un atacante podía saltar de su propia cuenta al rol de Administrador Global en la nube de otra empresa, leyendo o incluso modificando datos sensibles en el proceso.

Ecos de Incidentes Pasados

Las brechas de identidad en la nube no son nuevas. En 2021, el ataque a SolarWinds explotó debilidades en los sistemas de autenticación de Microsoft, lo que llevó a la vulneración de agencias gubernamentales de EE. UU. De manera similar, el ataque Storm-0558 de 2023 utilizó tokens falsificados para acceder a cuentas de Outlook. Cada incidente subraya el desafío: a medida que las plataformas en la nube se vuelven más complejas, las puertas traseras ocultas y las funciones heredadas pueden socavar incluso los mejores planes de seguridad.

Implicaciones Más Amplias: Confianza y Transparencia

Microsoft respondió rápidamente, parcheando la vulnerabilidad en pocos días y desactivando los tokens de actor para la antigua API. Pero para muchos en el mundo de la ciberseguridad, el incidente es una señal de alerta. Anders Askasan, de Radiant Logic, advierte que confiar únicamente en las garantías del proveedor es arriesgado cuando funciones no documentadas pueden eludir la seguridad. “Es una puerta trasera en la sombra”, dice, “sin políticas, sin registros, sin visibilidad”. La lección: las organizaciones necesitan formas independientes de vigilar sus sistemas de identidad, no solo confiar en que el proveedor de la nube lo tiene todo cubierto.

A medida que las empresas depositan cada vez más confianza - y datos - en la nube, la falla de Entra ID sirve como un recordatorio contundente: incluso las fortalezas digitales más sofisticadas pueden ser desmanteladas por una sola y silenciosa llave maestra. La verdadera seguridad implica exigir transparencia, supervisión independiente y una saludable dosis de escepticismo sobre lo que yace bajo la superficie.

WIKICROOK

  • Entra ID (Azure AD): Entra ID (Azure AD) es el servicio en la nube de Microsoft para gestionar identidades de usuarios y controlar el acceso seguro a aplicaciones y recursos.
  • Administrador Global: Un Administrador Global es un usuario con los privilegios más altos, capaz de gestionar todas las configuraciones, usuarios y funciones de seguridad en un entorno en la nube.
  • Token de actor: Un token de actor es una credencial digital que permite a los servicios de software autenticarse e interactuar de forma segura entre sí en entornos en la nube.
  • API (Interfaz de Programación de Aplicaciones): Una API es un conjunto de reglas que permite que diferentes sistemas de software se comuniquen, actuando como un puente entre aplicaciones. Las APIs son objetivos comunes en ciberseguridad.
  • Acceso Condicional: El Acceso Condicional aplica políticas de seguridad que restringen el acceso según factores como la ubicación del usuario, el dispositivo o el nivel de riesgo para bloquear inicios de sesión no autorizados.
CIPHERWARDEN CIPHERWARDEN
Cyber Encryption Architect
← Back to news