En un contexto de tensión geopolítica creciente en Oriente Medio, investigadores de seguridad han identificado una campaña masiva de password spraying contra entornos Microsoft 365, atribuida a actores vinculados al ecosistema de ciberinteligencia iraní. Según datos de Check Point, los principales objetivos se concentran en Israel y Emiratos Árabes Unidos (EAU), aunque también se han registrado intentos contra organizaciones en Europa, Estados Unidos, Reino Unido y Arabia Saudí.
Alcance de los ataques a Microsoft 365 en Israel, EAU y otros países
Los analistas describen una campaña sostenida que evoluciona por oleadas coordinadas, con picos de actividad detectados los días 3, 13 y 23 de marzo de 2026. Más de 300 organizaciones israelíes y al menos 25 entidades en EAU se han visto sometidas a intentos de intrusión. Los blancos incluyen administraciones públicas, municipios, operadores de transporte, empresas energéticas y tecnológicas, así como organizaciones del sector privado.
El objetivo central son las cuentas en la nube de Microsoft 365 (M365): buzones de correo, OneDrive, SharePoint y servicios asociados. La comprometación de una sola cuenta corporativa puede abrir la puerta a la lectura de comunicaciones sensibles, la sustracción de documentos estratégicos y el movimiento lateral hacia sistemas internos, lo que convierte a M365 en un vector de alto valor para actores estatales y criminales.
Qué es el password spraying y por qué es tan eficaz contra la nube
El password spraying es una técnica de ataque basada en probar una o pocas contraseñas muy comunes contra un número elevado de usuarios. A diferencia del brute force clásico, que intenta muchos passwords sobre una única cuenta, aquí se invierte el enfoque: se lanza el mismo password contra decenas o cientos de cuentas.
Este método reduce la probabilidad de activar bloqueos automáticos por intentos fallidos y dificulta la detección mediante reglas simples de seguridad. En entornos en la nube como Microsoft 365, donde las superficies de exposición son amplias y los usuarios suelen reutilizar contraseñas débiles, el password spraying se convierte en una táctica altamente rentable. Informes de Microsoft señalan que el uso de credenciales débiles o reutilizadas sigue siendo uno de los principales factores en la mayoría de compromisos de cuentas en la nube.
Vínculos con las operaciones Peach Sandstorm y Gray Sandstorm
La campaña presenta rasgos técnicos coherentes con grupos de amenazas avanzadas (APT) atribuidos a Irán, en particular Peach Sandstorm y Gray Sandstorm (antes DEV‑0343), conocidos por enfocar sus operaciones en organismos gubernamentales e infraestructuras críticas. El análisis de los registros de Microsoft 365 revela similitudes con tácticas previamente asociadas a Gray Sandstorm, como el uso de herramientas de red teaming canalizadas a través de nodos de la red Tor.
La infraestructura de ataque combina salidas Tor con VPN comerciales. Destaca la utilización de nodos alojados en la AS35758 (Rachamim Aviel Twito), lo que encaja con actividad ya observada en operaciones atribuidas a intereses iraníes en la región. Esta mezcla de anonimización y servicios comerciales dificulta el bloqueo basado únicamente en direcciones IP.
Tres fases del ataque contra cuentas de Microsoft 365
Los investigadores describen una cadena de ataque en tres fases bien definida. En la primera fase, los atacantes realizan reconocimiento y escaneos agresivos desde Tor y VPN, seguidos de campañas de password spraying sobre amplias listas de cuentas corporativas.
En la segunda fase, cuando logran credenciales válidas, los operadores consolidan el acceso a la nube: inician sesión en buzones de correo y otros servicios de Microsoft 365, revisan el contenido, crean reglas de reenvío y, en algunos casos, establecen mecanismos de persistencia que les permitan volver incluso si la contraseña se cambia.
La tercera fase se centra en la exfiltración de datos. Se han observado descargas masivas de buzones, potencial acceso a documentos en OneDrive y SharePoint y la recopilación de metadatos (listas de contactos, estructuras organizativas, hilos de correo) útiles para futuras campañas de phishing selectivo, chantaje o espionaje.
Ransomware iraní Pay2Key y BQTLock: nueva ola de ataques destructivos
En paralelo a los ataques contra Microsoft 365, a finales de febrero de 2026 una gran organización médica en Estados Unidos fue víctima del ransomware Pay2Key. Este grupo, operando bajo un modelo de ransomware-as-a-service (RaaS) y vinculado por analistas a la operación conocida como Fox Kitten, priorizó la rápida destrucción y cifrado frente al modelo de doble extorsión (cifrado más filtración pública de datos) dominante en otros grupos.
El flujo de ataque incluyó una intrusión inicial aún no revelada, el despliegue de software legítimo de acceso remoto como TeamViewer, la captura de credenciales para movimiento lateral, la desactivación de Microsoft Defender Antivirus simulando la presencia de otro producto de seguridad, la obstrucción de los mecanismos de recuperación, la ejecución del cifrador y la creación de notas de rescate. Un detalle relevante es el borrado completo de los registros de eventos al final de la operación, eliminando rastros tanto de la intrusión como del propio cifrado.
Desde su reaparición en 2025–2026, Pay2Key habría ajustado su programa de afiliados, ofreciendo hasta el 80% del rescate a operadores que ataquen objetivos definidos como “enemigos de Irán”. Además, se ha identificado una versión para Linux, analizada por Morphisec, que exige privilegios de root, desactiva SELinux y AppArmor, detiene servicios críticos, programa tareas en cron para mantener la persistencia y cifra datos con el algoritmo ChaCha20.
De forma simultánea, Halcyon ha informado de llamamientos por parte del administrador del ransomware Sicarii para que operadores proiraníes migren al Baqiyat 313 Locker (BQTLock). Este malware, activo desde julio de 2025 y con una narrativa declaradamente propalestina, ha atacado organizaciones en EAU, Estados Unidos e Israel, reforzando la tendencia del ransomware como herramienta híbrida entre cibercrimen y sabotaje geopolítico.
Cómo proteger Microsoft 365 y reducir el impacto del ransomware
Para las organizaciones que dependen de Microsoft 365 y otros servicios en la nube, resulta crítico adoptar una combinación de controles preventivos, detectivos y de respuesta. Es esencial monitorizar de forma continua los registros de inicio de sesión, configurando alertas ante múltiples intentos fallidos desde diferentes cuentas, sobre todo cuando proceden de Tor, VPN anónimas o ubicaciones geográficas atípicas.
El uso de políticas de Acceso Condicional (Conditional Access) permite restringir la autenticación a países concretos, rangos de IP corporativos o gateways VPN de confianza. La autenticación multifactor (MFA) debe ser obligatoria para todos los usuarios; según Microsoft, la MFA puede bloquear la inmensa mayoría de ataques basados en el robo de credenciales y password spraying.
Igualmente importante es habilitar y conservar los registros de auditoría de Microsoft 365, exportándolos de forma periódica para facilitar la investigación forense en caso de incidente. Frente al ransomware, las medidas básicas siguen siendo determinantes: copias de seguridad offline y probadas, segmentación de la red, restricción del uso de herramientas de administración remota y una gestión ágil de parches de seguridad.
La combinación de controles técnicos, formación continua del personal contra phishing y campañas de concienciación sobre el uso de contraseñas robustas es clave para reducir el riesgo. Los ataques de password spraying y el auge de familias de ransomware como Pay2Key y BQTLock evidencian que la frontera entre delincuencia común y operaciones patrocinadas por Estados es cada vez más difusa. Es el momento de revisar en profundidad la postura de seguridad de Microsoft 365, fortalecer la autenticación y la monitorización, y mantener una estrategia de ciberresiliencia que permita no solo prevenir, sino también recuperarse con rapidez ante un eventual compromiso.
