- Amenaza confirmada: Actor vinculado a Irán ejecuta una campaña de password-spraying dirigida contra entornos Microsoft 365.
- Alcance significativo: Más de 300 organizaciones en Israel y Emiratos Árabes Unidos afectadas en tres oleadas durante marzo de 2026.
- Contexto geopolítico: La campaña se enmarca en el conflicto regional en Oriente Medio, según análisis de ciberinteligencia.
- Técnica de ataque: Uso de password-spraying para evadir mecanismos de bloqueo por intentos fallidos.
- Contramedidas urgentes: Implementación de autenticación multifactor (MFA) y políticas de contraseñas robustas es esencial para mitigar el riesgo.
Una campaña de password-spraying iraní dirigida contra infraestructuras de Microsoft 365 ha comprometido a más de 300 organizaciones en Israel y los Emiratos Árabes Unidos a lo largo de tres oleadas de ataque en marzo de 2026. Según nuestro análisis de ciberinteligencia, esta ofensiva demuestra una sofisticación operativa creciente por parte de actores estatales en el ciberespacio, aprovechando técnicas de fuerza bruta adaptadas para evadir las defensas convencionales. Los ataques, que coinciden con un periodo de tensión geopolítica en la región, subrayan la utilización de campañas de robo de credenciales como vector primario para la intrusión inicial.
¿Qué es campaña de password-spraying iraní y por qué es relevante?
Qué es el password-spraying y cómo funciona esta campaña iraní
🔍 Anticipa las amenazas antes de que lleguen a tu organización. En Iberia Intelligence aplicamos ciberinteligencia avanzada: seguimiento de actores de amenaza, análisis de TTPs, alertas tempranas y vigilancia en fuentes abiertas y cerradas adaptada a tu sector y geografía.
El password-spraying es una técnica de fuerza bruta que se diferencia del ataque tradicional. En lugar de probar muchas contraseñas contra un único usuario, el atacante prueba una o pocas contraseñas comunes (como «Winter2026», «Empresa123» o «Welcome1») contra una gran lista de nombres de usuario. Este método evita los bloqueos por múltiples intentos fallidos que suelen activarse tras unos pocos intentos contra una misma cuenta.
En la campaña de password-spraying iraní analizada, el actor amenazante utilizó un catálogo de contraseñas débiles pero plausibles, obtenidas probablemente de filtraciones anteriores (credential stuffing). Según fuentes del sector, las oleadas se ejecutaron en intervalos precisos —3, 13 y 23 de marzo—, lo que sugiere un proceso automatizado y una posible intención de mapear los períodos de menor supervisión de seguridad en las organizaciones objetivo.
El modus operandi del ataque por rociado de contraseñas
Nuestro análisis técnico indica que los atacantes dirigieron sus intentos de autenticación contra los puntos de conexión públicos de Microsoft 365 (como Outlook Web App o Active Sync). Utilizaron infraestructura en la nube y direcciones IP rotativas para dificultar el bloqueo basado en reputación. Una vez que una credencial era validada, el acceso se utilizaba para realizar reconocimiento interno, robo de datos o como punto de entrada para un ataque más amplio.
La persistencia es una característica clave. Al no bloquear las cuentas, los atacantes podían repetir los ciclos de spray en diferentes oleadas, incrementando las probabilidades de éxito a medida que los usuarios cambiaban sus contraseñas por otras igualmente predecibles.
Detalles técnicos y cronología de las tres oleadas de ataque
La campaña se desarrolló en tres pulsos claramente diferenciados, según los datos de telemetría recopilados por firmas de seguridad. La primera oleada, el 3 de marzo, actuó como sondeo inicial para identificar objetivos vulnerables y calibrar las defensas. La segunda, el 13 de marzo, aumentó significativamente el volumen de intentos, mientras que la tercera, el 23 de marzo, mostró una refinamiento en la selección de contraseñas, apuntando a sectores específicos como el tecnológico y el gubernamental.
Los sistemas de detección identificaron patrones de tráfico anómalos desde rangos de IP asociados a proveedores de servicios en la nube, muchos de ellos con historial de actividad maliciosa vinculada a grupos de amenaza persas. La falta de autenticación multifactor (MFA) en las cuentas comprometidas fue el factor común que permitió el éxito del ataque de password-spraying.
Indicadores de Compromiso (IOCs) y herramientas utilizadas
Aunque los actores emplearon herramientas of-the-shelf y scripts personalizados, se identificaron patrones en los User-Agent de las peticiones y en los intervalos entre intentos. El uso de herramientas como O365Spray o MFASweep es plausible, adaptadas para probar el estado de la MFA. La detección requiere monitorizar los logs de inicio de sesión de Azure AD/Entra ID en busca de un volumen inusual de intentos fallidos desde una misma IP contra múltiples usuarios, seguido de un éxito.
Objetivos, motivación geopolítica y perfil del actor iraní
El perfil de los objetivos —organizaciones israelíes y de los EAU— apunta claramente a una motivación de ciberespionaje con trasfondo geopolítico. En el contexto del conflicto en Oriente Medio, el acceso a correos corporativos y documentos de Microsoft 365 proporciona a un actor estatal inteligencia valiosa sobre estrategias económicas, alianzas o posturas políticas.
Desde nuestra perspectiva de ciberinteligencia, atribuimos esta campaña con alta confianza a un grupo de amenaza avanzada persistente (APT) vinculado a Teherán, posiblemente asociado al APT33 (Elfin) o al APT39. Estos grupos tienen un historial documentado de utilizar password-spraying y ataques a la nube para comprometer objetivos regionales. La campaña no buscaba un impacto disruptivo inmediato, sino establecer una posición persistente para la exfiltración de información.
Cómo proteger los entornos Microsoft 365 contra el password-spraying
La mitigación efectiva contra esta campaña de password-spraying iraní requiere una defensa en profundidad. La primera y más crítica línea de defensa es la implementación universal de la autenticación multifactor (MFA), preferiblemente mediante aplicaciones autenticadoras sin SMS. Esta sola medida neutraliza la eficacia del robo de credenciales mediante fuerza bruta.
En segundo lugar, es imperativo aplicar políticas de contraseñas sólidas que prohíban el uso de contraseñas comunes, filtradas o excesivamente simples. Servicios como Azure AD Password Protection bloquean automáticamente una amplia lista de contraseñas débiles y sus variantes. Complementariamente, la implementación de conditional access policies que restrinjan los inicios de sesión desde ubicaciones geográficas no habituales o desde dispositivos no gestionados añade una capa de seguridad contextual.
Monitorización proactiva y respuesta a incidentes
Las organizaciones deben monitorizar activamente los informes de riesgo de identidad en Microsoft Defender for Identity o soluciones similares, que pueden señalar inicios de sesión imposibles o actividad sospechosa post-compromiso. Configurar alertas para detección de password-spraying (múltiples intentos fallidos desde una IP contra múltiples usuarios en un corto período) es fundamental para una respuesta temprana.
Finalmente, la concienciación continua del usuario es vital. Los empleados deben entender por qué es crucial usar contraseñas únicas y complejas, y por qué nunca deben reutilizarlas en otros servicios. En un panorama donde la campaña de password-spraying es un vector preferido por los actores estatales, la higiene básica de credenciales se convierte en una defensa estratégica.
Recursos y fuentes oficiales:
Convierte la inteligencia de amenazas en ventaja estratégica
Nuestro equipo en Iberia Intelligence ofrece servicios de Ciberinteligencia para empresas e instituciones: monitorización de actores, perfiles de adversarios, alertas personalizadas e informes ejecutivos accionables.