Los tokens OAuth no caducan cuando los empleados se marchan, cambian las contraseñas o las aplicaciones se vuelven maliciosas. Su programa de seguridad debe comprender este riesgo y eliminar cuanto antes los permisos innecesarios o abandonados.
Imagínese una llave de repuesto. Se la entregó a un técnico hace seis meses para que reparara su sistema de climatización. El trabajo terminó. El técnico se marchó. Pero la llave sigue funcionando y usted nunca la pidió de vuelta. Eso es más o menos lo que sucede cada vez que alguien en su empresa conecta una aplicación de terceros a Google Workspace o Microsoft 365 mediante OAuth. Sus empleados crean las claves digitales. No caducan y, en la mayoría de las organizaciones, nadie las controla, revisa ni elimina cuando ya no son necesarias.
OAuth es el sistema detrás de los botones "Conectar con Google" y "Permitir acceso" que tu equipo pulsa a diario. Permite que las aplicaciones lean tu calendario, envíen correos electrónicos en tu nombre o extraigan datos de tu almacenamiento en la nube, todo ello sin compartir tu contraseña real. Suena genial. El problema es que el token de acceso que crea permanece activo mucho después de que hayas olvidado que la aplicación existe. No se cancela cuando un empleado se va. No se restablece cuando alguien cambia su contraseña. Tu autenticación multifactor no sirve de nada para detener a un atacante que ya posee un token válido.
La investigación de Seguridad material Se ha constatado que el 80% de los responsables de seguridad consideran que las concesiones OAuth no gestionadas representan un riesgo crítico o significativo. Esta cifra se ha mantenido elevada durante años. Sin embargo, la concienciación puede no ser el principal problema en este caso, sino la mitigación de esta amenaza. is.
45% Muchas organizaciones no hacen nada para monitorear las concesiones de OAuth a gran escala.
33% Dependen del seguimiento manual, como hojas de cálculo y revisiones ad hoc.
Una hoja de cálculo que indica qué aplicaciones tienen acceso no es lo mismo que saber qué hacen esas aplicaciones con ese acceso. Una es una lista; la otra es seguridad. Actualmente, la mayoría de los equipos solo tienen la lista.
En 2024 y 2025, un ciberdelincuente conocido como UNC6395 (rastreado por Palo Alto Unit 42) utilizó tokens de actualización OAuth robados de Drift, una plataforma de interacción con clientes, para acceder a los entornos de Salesforce de más de 700 organizaciones. Drift tenía conexiones OAuth legítimas con esas cuentas de Salesforce. El atacante obtuvo esos tokens, probablemente mediante ataques de phishing previos, y accedió sin problemas a los sistemas.
¿Qué hizo que este ataque fuera tan efectivo?
Nada parecía sospechoso. Los tokens eran válidos. La aplicación era de confianza. El inicio de sesión nunca se produjo porque el atacante ni siquiera inició sesión. Presentó un token existente que Drift ya tenía permiso para usar. La autenticación multifactor (MFA) no tuvo ninguna función porque no se introdujo ninguna contraseña. Una vez dentro, UNC6395 extrajo datos y buscó credenciales como claves de AWS, tokens de Snowflake y contraseñas. Cloudflare, PagerDuty y docenas de otras aplicaciones se vieron afectadas.
La conclusión no es que Drift fuera una mala aplicación. La conclusión es que una aplicación confiable al momento de la instalación puede convertirse en un riesgo más adelante si se roban sus credenciales. Tus herramientas de seguridad deben monitorear la actividad de las aplicaciones conectadas a lo largo del tiempo, no solo los permisos que solicitaron el primer día.
La mayoría de las herramientas de seguridad OAuth funcionan en el momento en que se conecta una aplicación. Verifican si los permisos solicitados parecen excesivos y detectan aplicaciones de proveedores desconocidos. Esto es realmente útil y deberías implementarlo, pero no es suficiente por sí solo.
Una aplicación conocida y de confianza con permisos razonables superaría fácilmente esas comprobaciones. Si las credenciales de esa aplicación son robadas seis meses después, la revisión realizada durante la instalación no detectará nada. El riesgo surgió a posteriori.
Cuando se diseñó OAuth, el caso de uso típico era que un pequeño número de aplicaciones aprobadas por TI obtuvieran acceso limitado a calendarios compartidos. Era una situación manejable. Hoy en día, cada empleado conecta de forma independiente herramientas de IA, aplicaciones para tomar notas, plataformas de automatización y complementos de productividad a sus cuentas de trabajo. Cada conexión crea un token. Ninguno de esos tokens caduca automáticamente. La mayoría de las organizaciones desconocen cuántos tienen.
A medida que las herramientas de IA se convierten en un estándar en el entorno laboral, aumentará el número de conexiones OAuth en su entorno. Impedir por completo que los empleados utilicen herramientas de IA no es realista, y de todos modos no habría evitado el ataque de Drift, ya que este comenzó con una integración de confianza y aprobada.
Para empezar, crea una lista de todas las aplicaciones OAuth conectadas a tu entorno de Google Workspace o Microsoft 365. Ambas plataformas permiten a los administradores hacerlo sin necesidad de herramientas de terceros. Busca aplicaciones que no reconozcas, aplicaciones vinculadas a cuentas de usuarios que ya no trabajan en la plataforma y aplicaciones con permisos muy amplios, como «leer todo el correo» o «acceder a todos los archivos». Estas son las primeras aplicaciones que debes revisar y revocar.
A partir de ahí, acostúmbrese a revisar los permisos de OAuth trimestralmente. Le llevará menos tiempo del que cree una vez que haya realizado la limpieza inicial, y evitará que la lista se vuelva a descontrolar. Cuando los empleados se marchen, incluya la revocación de OAuth en su lista de verificación de desvinculación, junto con el restablecimiento de contraseñas y la desactivación de cuentas.
Paso a seguir en CyberHoot
Esta semana, inicia sesión en tu Consola de administración de Google o en el portal Microsoft Entra y consulta la lista de aplicaciones de terceros conectadas. Cuéntalas. Probablemente te sorprenderás. Selecciona las cinco que te resulten menos familiares y revisa a qué permisos tienen. Revoca los permisos de las que no correspondan. Esta simple acción hace que tu organización sea mucho más segura hoy mismo. ¡Manos a la obra!
admin.google.com → Users → [User] → Security → Connected Applications
learn.microsoft.com/en-us/entra/identity/enterprise-apps/manage-application-permissions
Descubra y comparta las últimas tendencias, consejos y mejores prácticas en ciberseguridad, junto con nuevas amenazas a las que debe prestar atención.
Los tokens OAuth no caducan cuando los empleados se van, las contraseñas cambian o las aplicaciones se vuelven maliciosas. Su programa de seguridad necesita...
LEER MÁS
La mayoría de las filtraciones no comienzan con un hacker con sudadera descifrando código a las 3 de la mañana. Comienzan con tu nombre de usuario y...
LEER MÁS
Actualizaciones del artículo: A partir del 6 de mayo de 2026, todos los principales laboratorios de IA de EE. UU., incluidos Google DeepMind, Microsoft, xAI,...
LEER MÁSObtenga una visión más clara de los riesgos humanos, con un enfoque positivo que supera las pruebas de phishing tradicionales.
