Campaña de 'password spraying' dirigida a organizaciones israelíes en Microsoft 365

Un grupo de ciberdelincuentes vinculado a Irán está llevando a cabo una campaña de 'password spraying' (rociado de contraseñas) contra organizaciones que utilizan Microsoft 365 en Israel y los Emiratos Árabes Unidos (EAU). Este tipo de ataque consiste en probar contraseñas comunes en múltiples cuentas, buscando credenciales fáciles de adivinar. La campaña se produce en un contexto de tensión geopolítica en Oriente Medio.

Cómo funciona el ataque

Según la empresa de ciberseguridad Check Point, la actividad se ha desarrollado en tres oleadas distintas durante el mes de marzo de 2026. Los atacantes parecen estar buscando acceso a información sensible dentro de las organizaciones afectadas. El 'password spraying' es una técnica efectiva porque evita bloquear cuentas al no intentar múltiples contraseñas en una misma cuenta, lo que dificulta la detección del ataque.

• Los atacantes utilizan nodos de salida de la red Tor para ocultar su ubicación durante el escaneo inicial y los intentos de inicio de sesión.
• Una vez que acceden a una cuenta, extraen datos importantes, como el contenido de los buzones de correo electrónico.
• Se han encontrado similitudes con actividades previas del grupo Gray Sandstorm (antes conocido como DEV-0343), incluyendo el uso de herramientas de 'red team' (equipos rojos, que simulan ataques para evaluar la seguridad) a través de Tor.

A quién afecta

La campaña se centra principalmente en Israel y los EAU, afectando a más de 300 organizaciones en Israel y más de 25 en los EAU. También se ha observado actividad contra un número limitado de objetivos en Europa, Estados Unidos, Reino Unido y Arabia Saudita. Los objetivos incluyen entidades gubernamentales, municipios, empresas de tecnología, transporte, energía y empresas del sector privado.

Cómo protegerse

Check Point recomienda a las organizaciones tomar las siguientes medidas para defenderse de este tipo de ataques:

• Monitorizar los registros de inicio de sesión en busca de patrones sospechosos de 'password spraying'.
• Implementar controles de acceso condicional para limitar el acceso a las cuentas desde ubicaciones geográficas aprobadas.
• Activar la autenticación multifactor (MFA) para todos los usuarios, lo que añade una capa extra de seguridad al requerir un segundo factor de verificación además de la contraseña.
• Habilitar los registros de auditoría para facilitar la investigación en caso de una brecha de seguridad.

Qué significa esto para ti

Esta campaña demuestra que los ataques dirigidos a cuentas en la nube, como las de Microsoft 365, son una amenaza constante. Es fundamental que tanto usuarios como empresas tomen medidas proactivas para proteger sus cuentas, como usar contraseñas robustas, activar la autenticación multifactor y estar atentos a posibles inicios de sesión sospechosos. La ciberseguridad es una responsabilidad compartida.