Una oleada de password spraying contra Azure CLI supera 81 millones de intentos y compromete al menos 78 cuentas
Una campaña masiva de password spraying golpeó el inicio de sesión de Azure CLI con más de 81 millones de intentos en dos semanas. El saldo confirmado es de al menos 78 cuentas comprometidas en 64 organizaciones, con un patrón que aprovechó el flujo OAuth ROPC y dejó en evidencia configuraciones incompletas de MFA y Acceso condicional.

Entre el 12 y el 26 de junio de 2026, una campaña de password spraying puso contra las cuerdas la autenticación asociada a Azure CLI y terminó con al menos 78 cuentas comprometidas en 64 organizaciones. El volumen impresiona: más de 81 millones de intentos en apenas dos semanas. No se trató de un ataque de fuerza bruta clásico, sino de una estrategia pensada para pasar más desapercibida, con pocos intentos por cuenta y una distribución masiva entre identidades.
El patrón encaja con el uso de listas de combinaciones usuario y contraseña procedentes de filtraciones previas. Ese detalle cambia el tablero: cuando un atacante no ‘adivina’ contraseñas, sino que prueba credenciales ya expuestas, la defensa depende mucho más de MFA, de políticas consistentes y de señales de detección temprana.
La clave técnica estuvo en el abuso del flujo OAuth Resource Owner Password Credentials (ROPC), un mecanismo heredado que OAuth 2.1 desaconseja. ROPC permite validar credenciales y emitir tokens sin pasar por experiencias interactivas donde suelen aplicarse controles más estrictos. En escenarios habituales, además, choca con la MFA. Resultado: organizaciones con medidas activadas se vieron igualmente expuestas si sus reglas no cubrían este tipo de inicio de sesión o los tipos de cliente que permiten autenticación programática.
La campaña mostró compromisos diarios entre el 12 y el 21 de junio, con una media de 2 a 4 cuentas por día y un pico el 19 de junio con 12 identidades. El 22 de junio llegó el salto, con 30 identidades afectadas en 23 empresas, una señal de que los atacantes ajustaron su cadencia o ampliaron la lista de objetivos.
La infraestructura apuntó principalmente a IPv6, con actividad concentrada en el rango 2a0a:d683::/32, vinculado al ASN AS32167 y a LSHIY LLC. Este tipo de huella no identifica por sí sola a un responsable, pero sí ofrece un punto práctico para enriquecer alertas, correlacionar eventos y priorizar investigaciones.
El episodio también deja lecciones incómodas sobre la realidad de las políticas de acceso. Se detectaron casos en los que la MFA solo se exigía para aplicaciones concretas, para grupos específicos o solo fuera de ubicaciones de confianza. Ese enfoque crea huecos previsibles, justo los que explotan campañas como esta. En paralelo, al menos ocho organizaciones afectadas no tenían ninguna política de MFA configurada.
En términos defensivos, conviene exigir MFA para todos los usuarios y todas las aplicaciones en la nube, y comprobar que la política cubre los flujos y clientes que usan autenticación no interactiva. También resulta crítico reducir al mínimo ROPC, bloquearlo cuando se pueda y migrar a flujos modernos compatibles con controles de sesión. Otra medida con impacto directo pasa por restringir Azure CLI a quien realmente lo necesite, especialmente entre usuarios no administradores.
Si un equipo de seguridad detecta un inicio de sesión exitoso tras un patrón de spraying, debe tratarlo como posible compromiso: iniciar respuesta a incidentes, invalidar sesiones y tokens, y forzar un cambio de credenciales. A partir de ahí, toca rotar contraseñas reutilizadas, reforzar políticas de contraseña y activar mecanismos de bloqueo inteligente. Y, sobre todo, vigilar picos de fallos ligados a Azure CLI, a endpoints de emisión de tokens y a rangos IPv6 o ASNs anómalos, con alertas que identifiquen el reparto de intentos entre muchas cuentas con pocos intentos por identidad.
La campaña se enmarca en un repunte más amplio del credential spraying, con un incremento superior a 155 veces en volumen observado en los últimos meses en una base de clientes. El mensaje es claro: en la nube, el perímetro es la identidad. Y los atacantes lo saben.
Más información
- The Hacker News – Azure CLI Password Spray Hits at Least 78 Microsoft Accounts in 81M+ Attempts : https://thehackernews.com/2026/07/azure-cli-password-spray-hits-at-least.html
- SecurityWeek – Massive Password Spray Campaign Targeting Azure CLI : https://www.securityweek.com/massive-password-spray-campaign-targeting-azure-cli/
La entrada Una oleada de password spraying contra Azure CLI supera 81 millones de intentos y compromete al menos 78 cuentas se publicó primero en Una Al Día.
Powered by WPeMatico
