Una investigación reciente basada en un caso real muestra que autorizar permisos a ChatGPT en entornos empresariales con Entra ID puede derivar en un acceso persistente al correo electrónico sin necesidad de nuevas verificaciones de seguridad.
La firma de ciberseguridad Red Canary ha analizado un riesgo relevante en entornos empresariales que utilizan Microsoft Entra ID. El estudio describe cómo el consentimiento OAuth otorgado a ChatGPT puede permitir acceso continuo al correo corporativo.
OAuth es el sistema que permite a los usuarios iniciar sesión en aplicaciones externas sin compartir directamente su contraseña. En el caso documentado, un empleado de la empresa ficticia Contoso Corp vinculó ChatGPT a su cuenta profesional y otorgó permisos a través de Microsoft Graph, incluyendo Mail.Read, que habilita la lectura del correo electrónico.
Una vez concedido el consentimiento, la aplicación puede crear un “service principal”, una identidad que mantiene acceso mediante un token. Esto permite que la aplicación continúe accediendo a los datos en segundo plano sin requerir nuevas autenticaciones ni verificación multifactor. Según Red Canary, esta característica podría ser explotada por atacantes si logran que un usuario autorice una aplicación maliciosa con apariencia legítima.
El informe destaca además que, en muchas configuraciones estándar, los usuarios pueden otorgar consentimiento sin necesidad de aprobación administrativa, lo que amplía la superficie de riesgo.
La investigación subraya la importancia de la supervisión, y es que los equipos de seguridad pueden revisar los registros de auditoría para detectar acciones como “Add service principal” y “Consent to application”, que permiten verificar las integraciones activas y sus permisos asociados. En caso de detectar actividad sospechosa, es posible revocar el consentimiento y eliminar el acceso de forma inmediata.
En definitiva, el estudio evidencia que el riesgo no reside en la herramienta en sí, sino en su gestión. El control previo, la supervisión continua y la revisión periódica de las aplicaciones autorizadas son elementos fundamentales para evitar accesos indebidos entornos corporativos.
Más información:
- Red Canary: https://redcanary.com/blog/threat-detection/entra-id-oauth-attacks/.
- HackRead: https://hackread.com/entra-id-oauth-consent-chatgpt-emails-access/.
Deja una respuesta