How is OAuth consent phishing different from regular phishing attacks?

Unlike traditional phishing that steals passwords, OAuth consent phishing tricks you into granting legitimate access permissions to malicious applications. This means attackers bypass multi-factor authentication, and changing your password won't revoke their access. The attack exploits the trusted OAuth framework itself, making it harder to detect since the access appears authorized through normal authentication channels.

Can attackers still access my account if I change my password after granting OAuth permissions?

Yes, changing your password does not revoke OAuth application permissions. Once you grant an application access through OAuth consent, it receives access tokens that work independently of your password. You must explicitly revoke the application's permissions through your account settings (like Google's 'Apps with account access' or Microsoft's 'My Apps') to remove the attacker's access completely.

How can I tell if an OAuth consent screen is legitimate or malicious?

Legitimate OAuth screens display verified publisher badges, official company domains, and request only permissions necessary for the app's function. Red flags include unverified publishers, generic app names, excessive permission requests (like email access for a calendar app), arrival via unexpected emails, and pressure to approve quickly. Always navigate directly to a service's official website rather than following emailed links when granting permissions.

What should I do if I accidentally granted permissions to a suspicious OAuth app?

Immediately revoke the application's access through your account security settings, then change your password as a precaution. Review recent account activity for unauthorized access, enable alerts for suspicious logins, and notify your IT department if using a work account. Check for any created inbox rules, forwarding settings, or authorized delegates that the attacker may have configured while they had access.

Why don't anti-virus programs or email filters catch OAuth consent phishing?

OAuth consent phishing uses legitimate authentication infrastructure and doesn't contain traditional malware or obviously malicious links. The OAuth consent screens are hosted on official Microsoft or Google domains, making them appear trustworthy to security filters. Email security tools focus on detecting credential harvesting sites or malware, but OAuth attacks abuse legitimate functionality, requiring specialized cloud security monitoring and user awareness to prevent.

High Risk Average Loss: $3,000 Typical Duration: 1-7 days

Phishing de Consentimiento OAuth: Robo de Identidad Mediante Permisos de Aplicaciones

El phishing de consentimiento OAuth explota el marco de autenticación OAuth de confianza utilizado por Microsoft 365, Google Workspace y otras plataformas en la nube. En lugar de robar contraseñas directamente, los atacantes crean aplicaciones de terceros maliciosas que solicitan permisos amplios para acceder al correo electrónico, archivos, contactos y recursos en la nube. Cuando las víctimas hacen clic en "Permitir" o "Aceptar" en lo que parece ser una pantalla de inicio de sesión legítima, sin saberlo otorgan a la aplicación del atacante acceso persistente a sus cuentas, un acceso que elude la autenticación multifactor y permanece activo incluso después de cambios de contraseña. Este vector de ataque se ha disparado un 300% desde 2021 según el Informe de Defensa Digital de Microsoft, y el Centro de Quejas de Delitos por Internet del FBI ha vinculado más de $43 millones en pérdidas por compromiso de correo electrónico empresarial a ataques basados en OAuth en 2023. La técnica es particularmente peligrosa porque aprovecha la infraestructura de autenticación legítima, lo que dificulta la detección tanto para usuarios como para herramientas de seguridad tradicionales. A diferencia del robo de credenciales, el phishing de consentimiento OAuth no desencadena alertas de contraseña comprometida ni advertencias de inicio de sesión sospechoso. Los atacantes típicamente entregan estas solicitudes OAuth maliciosas a través de campañas de correo electrónico sofisticadas, invitaciones de colaboración falsas o sitios web comprometidos. La FTC reporta que el 68% de las víctimas son empleados de pequeñas y medianas empresas que reciben notificaciones falsas de SharePoint o invitaciones a reuniones de Teams. Las pérdidas financieras promedio alcanzan $3,000 para individuos, pero las organizaciones enfrentan costos sustancialmente más altos que promedian $47,000 por incidente cuando se incluyen exfiltración de datos, interrupción comercial y gastos de remediación.

Common Tactics How to Identify How to Protect Yourself Real-World Examples Frequently Asked Questions

Common Tactics

• Los atacantes registran aplicaciones maliciosas con proveedores OAuth utilizando nombres que imitan servicios legítimos como "Actualización de Seguridad de Office365" o "Escáner de Google Drive" para parecer confiables durante la pantalla de consentimiento.
• Los estafadores envían correos electrónicos de phishing que contienen enlaces a páginas de consentimiento OAuth, a menudo disfrazados como notificaciones de uso compartido de documentos, invitaciones a reuniones o alertas de seguridad urgentes que requieren acción inmediata.
• Los criminales crean solicitudes de permisos que parecen mínimas pero que en realidad otorgan acceso extenso, solicitando permisos de "Leer tu correo electrónico" que incluyen acceso completo al buzón de correo y capacidades de reenvío de mensajes.
• Los atacantes utilizan tácticas de presión de tiempo en sus señuelos, afirmando que las cuentas se bloquearán, los archivos se eliminarán o que documentos urgentes requieren revisión inmediata dentro de horas para eludir la consideración cuidadosa de las víctimas.
• Las operaciones sofisticadas comprometer primero cuentas de empleados legítimos, luego envían enlaces de phishing OAuth desde direcciones de correo electrónico internas de confianza para aumentar las tasas de éxito dentro de las organizaciones.
• Los estafadores mantienen acceso persistente solicitando permisos offline_access, permitiendo que sus aplicaciones maliciosas mantengan acceso a la cuenta indefinidamente sin requerir que la víctima se autentique nuevamente.

How to Identify

La pantalla de consentimiento OAuth aparece después de hacer clic en un enlace en un correo electrónico inesperado, especialmente mensajes urgentes sobre documentos compartidos, actualizaciones de seguridad o verificación de cuenta que usted no solicitó.
El nombre de la aplicación en la pantalla de consentimiento contiene términos genéricos, errores ortográficos o nombres sospechosos como "Lector de Correo Seguro" o "Visor de Documentos Pro" en lugar de marcas reconocibles.
Las solicitudes de permisos incluyen acceso amplio como "Acceso de lectura y escritura a todos sus archivos", "Enviar correo electrónico en su nombre" o "Acceso a todos sus contactos" cuando la función indicada no requiere tales permisos extensos.
La información del editor muestra "No verificado" o muestra un nombre de dominio sospechoso en lugar de un dominio oficial de la empresa (microsoft.com, google.com) o una insignia de editor verificado.
La solicitud de consentimiento OAuth llega a través de una URL acortada (bit.ly, tinyurl) o una cadena de redirección desconocida en lugar de provenir directamente del dominio oficial de un servicio conocido.
El tiempo es sospechoso: solicitudes de consentimiento apareciendo inmediatamente después de recibir correos electrónicos no solicitados sobre uso compartido de documentos, invitaciones de calendario o alertas de seguridad que crean urgencia artificial.

How to Protect Yourself

Antes de hacer clic en "Aceptar" en cualquier pantalla de consentimiento OAuth, verifique que el editor de la aplicación esté verificado y que el dominio coincida con el sitio web oficial de la empresa; desplace el cursor sobre los enlaces y verifique el destino de URL actual.
Revise cuidadosamente los permisos solicitados y rechace cualquier aplicación que solicite acceso más allá de lo necesario para su propósito declarado; un visor de documentos no debería necesitar permisos para enviar correo electrónico.
Configure políticas organizacionales en las consolas de administración de Microsoft 365 o Google Workspace para restringir las instalaciones de aplicaciones OAuth a aplicaciones preaprobadas o requerir consentimiento del administrador para aplicaciones que soliciten permisos sensibles.
Audite regularmente las aplicaciones conectadas en la configuración de su cuenta (Google: myaccount.google.com/permissions, Microsoft: account.microsoft.com/privacy) y revoque inmediatamente el acceso a aplicaciones desconocidas o no utilizadas.
Habilite el registro mejorado y la supervisión de concesiones de consentimiento OAuth en entornos empresariales utilizando corredores de seguridad de acceso a la nube (CASB) o herramientas de seguridad integradas para detectar permisos de aplicación sospechosos.
Implemente capacitación de conciencia de usuarios específicamente sobre phishing de consentimiento OAuth, enseñando a los empleados a reconocer solicitudes OAuth legítimas versus maliciosas y estableciendo protocolos claros para verificar la autenticidad de la aplicación antes de otorgar acceso.

Real-World Examples

Un gerente de marketing en una firma de consultoría mediana recibió un correo electrónico que aparentaba ser de la cuenta de Microsoft 365 de un colega con el asunto "Presupuesto Q4 - Necesita su Revisión URGENTEMENTE". Al hacer clic en el enlace de SharePoint, se abrió una pantalla de consentimiento OAuth para una aplicación llamada "Visor de Documentos de Office". Dentro de horas de otorgar acceso, la aplicación del atacante reenvió 2,847 correos electrónicos a una cuenta externa, incluyendo contratos de clientes que contenían detalles bancarios que se utilizaron para redirigir un pago de $28,000.

Una directora de recursos humanos recibió lo que aparentaba ser una invitación de Google Calendar para una reunión ejecutiva urgente. Al aceptar la invitación, se desencadenó una solicitud OAuth para una aplicación de calendario solicitando "acceso básico de calendario". La víctima lo aprobó sin notar los permisos adicionales para acceso a Gmail y Drive. Durante los siguientes tres días, el atacante exfiltró información personal de empleados incluyendo números de Seguro Social de 340 empleados antes de que se descubriera la violación durante una auditoría de seguridad rutinaria.

El propietario de una pequeña empresa hizo clic en un enlace en un correo electrónico que afirmaba que su cuenta de Dropbox tenía actividad sospechosa y requería verificación. La pantalla de consentimiento OAuth parecía legítima, con marca de Dropbox y solicitando "permisos de verificación de cuenta". Después de la aprobación, la aplicación maliciosa accedió al almacenamiento en la nube de la empresa, cifró archivos empresariales críticos y exigió un rescate de $4,500. Debido a que el acceso se otorgó a través de OAuth legítimo, la actividad de cifrado no desencadenó alertas de seguridad hasta que se produjo daño significativo.

Frequently Asked Questions

¿En qué se diferencia el phishing de consentimiento OAuth de los ataques de phishing normales?

A diferencia del phishing tradicional que roba contraseñas, el phishing de consentimiento OAuth lo engaña para que otorgue permisos de acceso legítimo a aplicaciones maliciosas. Esto significa que los atacantes eluiden la autenticación multifactor, y cambiar su contraseña no revocará su acceso. El ataque explota el marco OAuth de confianza en sí mismo, lo que dificulta la detección ya que el acceso parece autorizado a través de canales de autenticación normales.

¿Pueden los atacantes acceder a mi cuenta si cambio mi contraseña después de otorgar permisos de OAuth?

Sí, cambiar su contraseña no revoca los permisos de la aplicación OAuth. Una vez que otorga acceso a una aplicación a través del consentimiento OAuth, recibe tokens de acceso que funcionan independientemente de su contraseña. Debe revocar explícitamente los permisos de la aplicación a través de la configuración de su cuenta (como "Aplicaciones con acceso a tu cuenta" de Google o "Mis Aplicaciones" de Microsoft) para eliminar completamente el acceso del atacante.

¿Cómo puedo saber si una pantalla de consentimiento OAuth es legítima o maliciosa?

Las pantallas OAuth legítimas muestran insignias de editor verificado, dominios de empresa oficial y solicitan solo permisos necesarios para la función de la aplicación. Las señales de alerta incluyen editores no verificados, nombres de aplicaciones genéricos, solicitudes de permisos excesivos (como acceso de correo electrónico para una aplicación de calendario), llegada a través de correos electrónicos inesperados y presión para aprobar rápidamente. Siempre navegue directamente al sitio web oficial de un servicio en lugar de seguir enlaces en correos electrónicos al otorgar permisos.

¿Qué debo hacer si accidentalmente otorgué permisos a una aplicación OAuth sospechosa?

Revoque inmediatamente el acceso de la aplicación a través de la configuración de seguridad de su cuenta, luego cambie su contraseña como medida de precaución. Revise la actividad reciente de la cuenta para acceso no autorizado, habilite alertas para inicios de sesión sospechosos y notifique a su departamento de TI si utiliza una cuenta de trabajo. Verifique las reglas de bandeja de entrada creadas, configuraciones de reenvío o delegados autorizados que el atacante podría haber configurado mientras tenía acceso.

¿Por qué los programas antivirus o filtros de correo electrónico no detectan el phishing de consentimiento OAuth?

El phishing de consentimiento OAuth utiliza infraestructura de autenticación legítima y no contiene malware tradicional o enlaces obviamente maliciosos. Las pantallas de consentimiento OAuth se alojan en dominios oficiales de Microsoft o Google, lo que las hace parecer confiables para los filtros de seguridad. Las herramientas de seguridad de correo electrónico se enfocan en detectar sitios de cosecha de credenciales o malware, pero los ataques OAuth abusan de la funcionalidad legítima, requiriendo supervisión especializada de seguridad en la nube y conciencia del usuario para prevenir.

Empezar Aquí

Verificación de seguridad

Inteligencia

Herramientas e informes

Servicios premium

Extensión y API