• Saltar al contenido principal
  • Saltar a la barra lateral principal
  • Saltar al pie de página

Una Al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / General / Una oleada de password spraying contra Azure CLI supera 81 millones de intentos y compromete al menos 78 cuentas

Una oleada de password spraying contra Azure CLI supera 81 millones de intentos y compromete al menos 78 cuentas

1 julio, 2026 Por Hispasec Deja un comentario

Una campaña masiva de password spraying golpeó el inicio de sesión de Azure CLI con más de 81 millones de intentos en dos semanas. El saldo confirmado es de al menos 78 cuentas comprometidas en 64 organizaciones, con un patrón que aprovechó el flujo OAuth ROPC y dejó en evidencia configuraciones incompletas de MFA y Acceso condicional.

Entry image

Entre el 12 y el 26 de junio de 2026, una campaña de password spraying puso contra las cuerdas la autenticación asociada a Azure CLI y terminó con al menos 78 cuentas comprometidas en 64 organizaciones. El volumen impresiona: más de 81 millones de intentos en apenas dos semanas. No se trató de un ataque de fuerza bruta clásico, sino de una estrategia pensada para pasar más desapercibida, con pocos intentos por cuenta y una distribución masiva entre identidades.

El patrón encaja con el uso de listas de combinaciones usuario y contraseña procedentes de filtraciones previas. Ese detalle cambia el tablero: cuando un atacante no ‘adivina’ contraseñas, sino que prueba credenciales ya expuestas, la defensa depende mucho más de MFA, de políticas consistentes y de señales de detección temprana.

La clave técnica estuvo en el abuso del flujo OAuth Resource Owner Password Credentials (ROPC), un mecanismo heredado que OAuth 2.1 desaconseja. ROPC permite validar credenciales y emitir tokens sin pasar por experiencias interactivas donde suelen aplicarse controles más estrictos. En escenarios habituales, además, choca con la MFA. Resultado: organizaciones con medidas activadas se vieron igualmente expuestas si sus reglas no cubrían este tipo de inicio de sesión o los tipos de cliente que permiten autenticación programática.

La campaña mostró compromisos diarios entre el 12 y el 21 de junio, con una media de 2 a 4 cuentas por día y un pico el 19 de junio con 12 identidades. El 22 de junio llegó el salto, con 30 identidades afectadas en 23 empresas, una señal de que los atacantes ajustaron su cadencia o ampliaron la lista de objetivos.

La infraestructura apuntó principalmente a IPv6, con actividad concentrada en el rango 2a0a:d683::/32, vinculado al ASN AS32167 y a LSHIY LLC. Este tipo de huella no identifica por sí sola a un responsable, pero sí ofrece un punto práctico para enriquecer alertas, correlacionar eventos y priorizar investigaciones.

El episodio también deja lecciones incómodas sobre la realidad de las políticas de acceso. Se detectaron casos en los que la MFA solo se exigía para aplicaciones concretas, para grupos específicos o solo fuera de ubicaciones de confianza. Ese enfoque crea huecos previsibles, justo los que explotan campañas como esta. En paralelo, al menos ocho organizaciones afectadas no tenían ninguna política de MFA configurada.

En términos defensivos, conviene exigir MFA para todos los usuarios y todas las aplicaciones en la nube, y comprobar que la política cubre los flujos y clientes que usan autenticación no interactiva. También resulta crítico reducir al mínimo ROPC, bloquearlo cuando se pueda y migrar a flujos modernos compatibles con controles de sesión. Otra medida con impacto directo pasa por restringir Azure CLI a quien realmente lo necesite, especialmente entre usuarios no administradores.

Si un equipo de seguridad detecta un inicio de sesión exitoso tras un patrón de spraying, debe tratarlo como posible compromiso: iniciar respuesta a incidentes, invalidar sesiones y tokens, y forzar un cambio de credenciales. A partir de ahí, toca rotar contraseñas reutilizadas, reforzar políticas de contraseña y activar mecanismos de bloqueo inteligente. Y, sobre todo, vigilar picos de fallos ligados a Azure CLI, a endpoints de emisión de tokens y a rangos IPv6 o ASNs anómalos, con alertas que identifiquen el reparto de intentos entre muchas cuentas con pocos intentos por identidad.

La campaña se enmarca en un repunte más amplio del credential spraying, con un incremento superior a 155 veces en volumen observado en los últimos meses en una base de clientes. El mensaje es claro: en la nube, el perímetro es la identidad. Y los atacantes lo saben.

Más información

  • The Hacker News – Azure CLI Password Spray Hits at Least 78 Microsoft Accounts in 81M+ Attempts : https://thehackernews.com/2026/07/azure-cli-password-spray-hits-at-least.html
  • SecurityWeek – Massive Password Spray Campaign Targeting Azure CLI : https://www.securityweek.com/massive-password-spray-campaign-targeting-azure-cli/

Acerca de Hispasec

Hispasec Ha escrito 111 publicaciones.

  • View all posts by Hispasec →
  • Blog

Compártelo:

  • Compartir en X (Se abre en una ventana nueva) X
  • Comparte en Facebook (Se abre en una ventana nueva) Facebook
  • Compartir en LinkedIn (Se abre en una ventana nueva) LinkedIn
  • Compartir en Reddit (Se abre en una ventana nueva) Reddit
  • Compartir en Telegram (Se abre en una ventana nueva) Telegram
  • Compartir en WhatsApp (Se abre en una ventana nueva) WhatsApp

Publicaciones relacionadas

Publicado en: General Etiquetado como: ciberseguridad

Interacciones con los lectores

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Barra lateral principal

Buscar

Síguenos

25 años Una Al Día

https://www.youtube.com/watch?v=Kb-PFqasD4I

Populares de UAD

  • Un fallo crítico en libssh2 permite ejecutar código remoto con paquetes SSH manipulados
  • Un popular bloqueador de anuncios en Chrome expone una vía latente para inyectar JavaScript
  • FortiBleed pone en el punto de mira a FortiGate para robar credenciales a gran escala
  • CISA urge a blindar dispositivos Fortinet tras la filtración FortiBleed
  • Atacantes explotan un fallo crítico en Windows Netlogon y ponen en jaque a los controladores de dominio

Entradas recientes

  • Una oleada de password spraying contra Azure CLI supera 81 millones de intentos y compromete al menos 78 cuentas
  • Un fallo crítico en libssh2 permite ejecutar código remoto con paquetes SSH manipulados
  • Un popular bloqueador de anuncios en Chrome expone una vía latente para inyectar JavaScript
  • FortiBleed pone en el punto de mira a FortiGate para robar credenciales a gran escala
  • Explotan en ataques un fallo crítico en Cisco Unified CM con WebDialer habilitado
  • Explotan en ataques un fallo crítico en Cisco Unified CM con WebDialer habilitado
  • Paquetes maliciosos en npm se hacen pasar por herramientas de PostCSS para instalar un RAT en Windows
  • Correo electrónico
  • Facebook
  • LinkedIn
  • RSS
  • Twitter

Footer

UAD

UAD nació a raíz de un inocente comentario en un canal IRC hace 24 años. A través de los archivos, un lector curioso puede ver cómo ha cambiado (o no) la seguridad de la información desde entonces.

Aviso Legal

  • Aviso Legal
  • Términos y Condiciones
  • Política de Privacidad
  • Política de Cookies

Copyright © 2026 · Hispasec Sistemas, S.L. Todos los derechos reservados

Este sitio web utiliza cookies propias y de terceros para fines analíticos y para mostrarte publicidad (tanto general como personalizada) relacionada con tus preferencias en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas), para optimizar la web y para poder valorar las opiniones de los servicios consultados por los usuarios. Para administrar o deshabilitar estas cookies haz clic en: Configurar Cookies


Rechazar todo Aceptar Todo
Configurar Cookies

Resumen de privacidad

Este sitio web utiliza cookies para mejorar su experiencia mientras navega por el sitio web. De estas, las cookies que se clasifican como necesarias se almacenan en su navegador, ya que son esenciales para el funcionamiento de las funcionalidades básicas del sitio web. También utilizamos cookies de terceros que nos ayudan a analizar y comprender cómo utiliza este sitio web. Estas cookies se almacenarán en su navegador solo con su consentimiento. También tiene la opción de optar por no recibir estas cookies. Pero la exclusión voluntaria de algunas de estas cookies puede afectar su experiencia de navegación.
Necesaria
Siempre activado
Las cookies necesarias son absolutamente esenciales para que el sitio web funcione correctamente. Estas cookies garantizan funcionalidades básicas y características de seguridad del sitio web, de forma anónima.
CookieDuraciónDescripción
cookielawinfo-checkbox-analytics11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Análisis".
cookielawinfo-checkbox-functional11 monthsLa cookie está configurada por el consentimiento de cookies de GDPR para registrar el consentimiento del usuario para las cookies en la categoría "Funcional".
cookielawinfo-checkbox-necessary11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Necesario".
cookielawinfo-checkbox-others11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Otro.
cookielawinfo-checkbox-performance11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Rendimiento".
viewed_cookie_policy11 monthsLa cookie está configurada por el complemento de consentimiento de cookies de GDPR y se utiliza para almacenar si el usuario ha dado su consentimiento o no para el uso de cookies. No almacena ningún dato personal.
Analítica
Las cookies analíticas se utilizan para comprender cómo interactúan los visitantes con el sitio web. Estas cookies ayudan a proporcionar información sobre métricas, el número de visitantes, la tasa de rebote, la fuente de tráfico, etc.
GUARDAR Y ACEPTAR