Expertos en ciberseguridad han identificado una nueva y peligrosa técnica de ataque dirigida a usuarios de Microsoft que representa un salto cualitativo en la sofisticación de las campañas de phishing. Denominada ConsentFix, esta amenaza combina elementos técnicos avanzados con tácticas de ingeniería social para comprometer cuentas corporativas y personales.
Un ataque de nueva generación
La firma de seguridad Push Security fue la primera en documentar esta amenaza emergente. Según sus investigadores, ConsentFix fusiona dos metodologías de ataque conocidas: el phishing de consentimiento OAuth y las técnicas de manipulación psicológica características de los ataques ClickFix, dando como resultado un vector de compromiso especialmente efectivo.
«Interceptamos recientemente una campaña de phishing que emplea un nuevo tipo de técnica de ataque que hemos denominado ConsentFix. Esta combina el phishing de consentimiento OAuth con indicaciones engañosas al estilo ClickFix, lo que deriva en el compromiso total de las cuentas», explican desde Push Security.
La particularidad de este ataque radica en su capacidad para evadir las medidas de seguridad tradicionales. A diferencia de los métodos convencionales de phishing, ConsentFix no requiere robar contraseñas ni vulnerar sistemas de autenticación multifactor (MFA), dos de las principales barreras de protección implementadas por las organizaciones.
Mecánica del ataque
El funcionamiento de ConsentFix se basa en explotar la confianza del usuario en las interfaces nativas del navegador. Los atacantes diseñan páginas de phishing que imitan alertas de seguridad legítimas de Microsoft, advirtiendo a la víctima sobre supuestas amenazas a su cuenta.
El elemento clave del engaño consiste en presentar una solución aparentemente sencilla: copiar y pegar una URL específica. Sin embargo, esta URL contiene material clave OAuth que, al ser procesado, concede a los atacantes acceso completo a la cuenta sin necesidad de credenciales.
Según detalla Check Point en su análisis, la campaña se enfoca específicamente en usuarios de Microsoft, abusando de la aplicación OAuth de Azure CLI. «Puede entenderse como un ataque ClickFix nativo del navegador que sustrae un token OAuth de una aplicación objetivo, haciendo que la víctima copie y pegue una URL que contiene el material clave OAuth en una página de phishing», precisan desde Push Security.
Evolución de amenazas conocidas
ConsentFix representa una evolución directa de los ataques ClickFix, una técnica que ganó notoriedad en meses anteriores. En estos ataques, los ciberdelincuentes fabrican problemas de seguridad ficticios —como «actividad inusual detectada» o «tu cuenta está siendo atacada»— para después ofrecer una solución fraudulenta que, en realidad, compromete el sistema.
La nueva variante perfecciona esta estrategia al incorporar la explotación de tokens OAuth, lo que permite a los atacantes obtener permisos de acceso legítimos sin activar las alertas de seguridad habituales.
Recomendaciones de seguridad
Los expertos en ciberseguridad recomiendan extremar las precauciones ante este tipo de amenazas:
Nunca ejecutar acciones solicitadas en alertas no verificadas. Si un mensaje solicita copiar y pegar URLs o ejecutar comandos para «resolver un problema de seguridad», se trata probablemente de un intento de ataque.
Verificación directa con fuentes oficiales. Cualquier alerta de seguridad debe confirmarse accediendo directamente a la plataforma de Microsoft a través de canales oficiales, nunca mediante enlaces incluidos en correos o mensajes.
Reinicio ante sospechas. Si aparece una alerta sospechosa, se recomienda cerrar inmediatamente el navegador y reiniciar el sistema antes de verificar el estado de la cuenta a través de medios seguros.
Formación continua. Las organizaciones deben mantener programas actualizados de concienciación sobre ciberseguridad, especialmente ante la rápida evolución de las técnicas de ataque.
Actualización de sistemas de seguridad. Mantener al día tanto el software de protección como los protocolos de seguridad corporativos resulta fundamental para minimizar el riesgo de compromiso.
Esta amenaza demuestra la creciente sofisticación del panorama de ciberataques en 2025, donde los actores maliciosos combinan conocimientos técnicos avanzados con tácticas de manipulación psicológica para eludir incluso las defensas más robustas. La mejor protección sigue siendo la combinación de tecnología actualizada y un escepticismo saludable ante cualquier solicitud inusual relacionada con la seguridad de las cuentas.
