En diciembre, el equipo de investigación de Push Security identificó y bloqueó una nueva técnica de ataque altamente sofisticada que bautizó como ConsentFix. Este método combina ingeniería social al estilo ClickFix con phishing por consentimiento OAuth, permitiendo a los atacantes secuestrar cuentas de Microsoft sin necesidad de contraseñas ni MFA, incluso en entornos que utilizan autenticación resistente al phishing.
La investigación reveló que ConsentFix no se trataba de un experimento aislado, sino de una campaña a gran escala, desplegada a través de una amplia red de sitios web comprometidos en los que los atacantes inyectaban cargas maliciosas. La técnica fue detectada en múltiples conjuntos de clientes, lo que confirma su viabilidad operativa y su potencial impacto en organizaciones que dependen de Microsoft Entra ID (Azure AD).
Una respuesta rápida de la comunidad de seguridad
ConsentFix generó una respuesta inmediata y significativa por parte de la comunidad de ciberseguridad. En cuestión de días, investigadores independientes y equipos de seguridad de grandes proveedores comenzaron a analizar, reproducir y mejorar la técnica.
Entre las contribuciones más destacadas se encuentra la de John Hammond, quien publicó una versión optimizada del ataque desarrollada en su propio laboratorio. A su vez, investigadores de Microsoft, expertos de Glueck Kanja y otros analistas compartieron recomendaciones prácticas, detecciones y análisis técnicos que ayudaron a comprender mejor el alcance real de esta amenaza emergente.
¿Qué es ConsentFix y cómo funciona?
ConsentFix es una técnica de ataque que engaña a la víctima para que comparta un código de autorización OAuth a través de una página de phishing. Ese código, que normalmente se utiliza para completar un flujo legítimo de autenticación, es introducido manualmente por el atacante en una aplicación objetivo desde su propio dispositivo.
Al completar el handshake de autorización OAuth, el atacante obtiene tokens de acceso o de actualización, logrando así control total de la cuenta, sin haber pasado por ningún proceso de autenticación tradicional.
Este es el punto crítico: ConsentFix elude por completo la capa de identidad. Contraseñas, MFA e incluso métodos resistentes al phishing como passkeys no tienen ningún efecto, porque el ataque no compromete la autenticación, sino el proceso de autorización.
Abuso de OAuth: una amenaza conocida, pero evolucionada
El abuso de OAuth no es nuevo. Técnicas como el phishing por consentimiento o el phishing por código de dispositivo llevan años siendo utilizadas por atacantes. Sin embargo, estas técnicas suelen centrarse en aplicaciones fraudulentas de terceros, algo que cada vez resulta más difícil en entornos cloud empresariales modernos debido a configuraciones predeterminadas más restrictivas.
ConsentFix rompe este paradigma al dirigirse específicamente a aplicaciones de Microsoft de primera mano, que:
-
No pueden restringirse fácilmente como apps de terceros
-
Tienen consentimiento previo en todos los tenants
-
Permiten a los usuarios autenticarse sin aprobación del administrador
Además, los atacantes aprovecharon ámbitos heredados fuera del alcance del registro por defecto y exclusiones conocidas de políticas de Acceso Condicional, lo que les permitió evadir tanto la prevención como la detección.
Por qué ConsentFix es especialmente peligroso
A diferencia de ataques OAuth tradicionales, ConsentFix presenta varias características que lo convierten en una amenaza de alto impacto:
-
Evita completamente contraseñas y MFA
-
Abusa de aplicaciones Microsoft legítimas
-
Elude registros y políticas por defecto
-
Ocurre íntegramente dentro del navegador
-
Es extremadamente difícil de detectar con EDR o herramientas tradicionales
En la práctica, los controles que normalmente deberían bloquear una concesión OAuth maliciosa simplemente no se aplican, y muchas organizaciones ni siquiera tienen habilitado el logging necesario para detectar que el ataque está ocurriendo.
Resumen de la campaña ConsentFix
El flujo del ataque observado por Push Security es el siguiente:
-
La víctima recibe una página de phishing que solicita verificar que es humana pegando una URL
-
Al hacer clic en “Iniciar sesión”, se abre una página legítima de Microsoft
-
Si el usuario ya está autenticado, no se le solicita contraseña
-
Al seleccionar su cuenta, es redirigido a una URL localhost con un código OAuth
-
La víctima copia esa URL y la pega en la página de phishing
-
El atacante intercambia el código por tokens válidos
En esencia, el atacante completa manualmente el flujo de inicio de sesión de Azure CLI, pero utilizando las credenciales OAuth de la víctima en su propio dispositivo.
Vinculación con APT29 y campañas estatales
Investigaciones posteriores indican que ConsentFix está vinculado a APT29, un actor de amenazas patrocinado por el Estado ruso. Esta atribución concuerda con el alto nivel de sigilo, paciencia y evasión observado, muy por encima de campañas de phishing criminal convencionales.
ConsentFix también parece ser una evolución directa de campañas previamente identificadas por Volexity, en las que las víctimas eran manipuladas para copiar manualmente respuestas OAuth y enviarlas por correo electrónico.
Aplicaciones Microsoft vulnerables a ConsentFix
Investigadores de Glueck Kanja identificaron 11 aplicaciones de Microsoft de primera mano vulnerables a ConsentFix y con exclusiones conocidas de Acceso Condicional, entre ellas:
-
Microsoft Azure CLI
-
Microsoft Azure PowerShell
-
Microsoft Teams
-
Visual Studio
-
Visual Studio Code
-
Microsoft SharePoint Online Management Shell
-
Power Query para Excel
Esta amplitud demuestra que la superficie de ataque es considerablemente mayor de lo que se pensaba inicialmente.

Predicciones: ConsentFix llegará al mainstream
Dada la rapidez con la que la técnica evolucionó y fue reproducida, ConsentFix será adoptado inevitablemente por:
-
Equipos Red Team
-
Grupos APT
-
Cibercriminales avanzados
Es muy probable que nuevas variantes ya estén en circulación o aparezcan en el corto plazo.
Recomendaciones clave para equipos de seguridad
Para mitigar ataques como ConsentFix, los expertos recomiendan:
-
Monitorizar el navegador como superficie de ataque
-
Habilitar el logging de AADGraphActivityLogs
-
Investigar eventos OAuth asociados a los IDs de apps vulnerables
-
Restringir el acceso a herramientas CLI mediante Acceso Condicional
-
Limitar el uso de aplicaciones Microsoft de alto riesgo
Las amenazas modernas como ConsentFix demuestran que la seguridad de identidad ya no termina en el login. En la era del cloud y la IA, el abuso de flujos legítimos se ha convertido en una de las armas más poderosas de los atacantes.
Fuente: BleepingComputer
