- Proyecto : Detección CloudLOL
- Empresa : Merabytes
- Sector : Fabricación
- Fecha : 29 November, 2025
- Duración : Detección en tiempo real
info@merabytes.com
Caso real: Empresa del sector de fabricación víctima de ataque CloudLOL vía SharePoint (nombre del cliente omitido por confidencialidad)
🔑 Puntos clave
| Hora/Fase | Evento |
|---|---|
| Fase 0 - Compromiso previo | Cuenta de proveedor comprometida con acceso a SharePoint Online. Atacante obtiene control de entorno SaaS legítimo. |
| Fase 1 - Preparación | Atacante sube archivo malicioso al SharePoint real del proveedor comprometido. Genera enlace legítimo de O365. |
| Fase 2 - Distribución | Email enviado desde infraestructura real de SharePoint (SPF/DKIM/DMARC: PASS) a empresa de fabricación simulando documentación rutinaria. |
| Fase 3 - Detección SOC | SOC detecta patrón anómalo: mismo archivo compartido desde misma cuenta a +10 destinatarios (vs. histórico de 1-2 emails). Email menciona “Microsoft” desde dominio no oficial. |
| Fase 4 - Cuarentena y análisis | Email entra automáticamente en cuarentena. Análisis de correlación confirma volumen atípico y contenido sospechoso. |
| Fase 5 - Contención | Bloqueo del enlace malicioso antes de que usuarios internos interactúen con el contenido. Notificación al proveedor sobre compromiso de cuenta. |
La semana pasada vimos un caso que refleja muy bien cómo ha evolucionado el phishing corporativo. Ya no hablamos de “correos falsos”, sino de mensajes perfectamente autenticados que pasan todos los controles técnicos… pero que siguen siendo maliciosos.
🌩️ ¿Qué es un CloudLOL?
Al igual que los LOLBINs, que reutilizan binarios del sistema para ejecutar acciones maliciosas, un CloudLOL aprovecha servicios legítimos de SaaS para realizar ataques:
- Envío masivo de documentos infectados o con PDFs que redireccionan a sitios que piden credenciales
- Obtención de sesiones o tokens con permisos extensos en Microsoft Graph (como la lectura o el envío de emails)
- Todo sin ejecutar software sospechoso localmente
🚫 Por qué SPF, DKIM y DMARC no bastan
En este caso, el correo pasaba todos los controles de autenticación:
✔ SPF: PASS
✔ DKIM: PASS
✔ DMARC: PASS
👉 Esto significa que el correo era legítimo desde el punto de vista técnico. Había sido enviado desde la infraestructura real de un proveedor como Microsoft SharePoint. Y justo ese detalle es lo que lo hacía tan peligroso.
🔍 ¿Qué estaba pasando realmente?
Un acceso no autorizado en la cuenta de este proveedor permitió a los atacantes usar su propio entorno de SharePoint Online para distribuir un archivo malicioso.
El ataque fue sofisticado:
- Se subió un fichero al SharePoint real del proveedor
- Se generó un enlace legítimo de O365
- El atacante lo compartió por email a la empresa del sector de fabricación como si fuese documentación rutinaria
- La autenticación del mensaje era perfecta. No había señales clásicas de suplantación
💡 La lección: en la era del SaaS y la nube, la seguridad ya no depende solo de SPF/DKIM/DMARC. La detección proactiva basada en patrones de comportamiento es la única manera de anticiparse a ataques sofisticados.
🕵️ ¿Cómo lo detectamos entonces?
La clave fue la correlación de eventos, no la autenticación del correo.
🔍 Observamos un patrón anómalo:
- Un email en cuarentena que menciona la palabra “Microsoft” desde un dominio externo a Microsoft
- Envía mismo fichero de SharePoint, compartido desde la misma cuenta, a más de 10 destinatarios distintos
- Cuando históricamente solo se enviaban 1 o 2 correos máximo
Esa diferencia fue suficiente para disparar la alerta:
- Se menciona un proveedor de confianza (Microsoft) en el contenido del correo y el dominio no cuadra con ningún dominio oficial de Microsoft (SharePoint envía a través de @proveedor.com)
- El email entra en cuarentena
- El SOC, al revisar la cuarentena de emails, se da cuenta de que envía el mismo archivo, desde la misma cuenta, a múltiples cuentas de nuestro proveedor de departamentos completamente distintos
- Volumen completamente atípico
Esto nos permitió aislar rápidamente el incidente y evitar que el equipo interno interactuara con el contenido.
⚠️ Lección importante: La IA no es suficiente
Los controles clásicos de autenticación de email e incluso el triaje asistido por IA son necesarios… pero no son suficientes.
Hoy, la detección real proviene de:
✨ Telemetría
✨ Comportamiento
✨ Volumen
✨ Contexto
✨ Correlación
En resumen: no importa si el correo “parece legítimo”. Lo que importa es si se comporta como algo normal para ese usuario.
💡 Recomendación para cualquier empresa industrial
Si dependes de proveedores que usan O365 o SharePoint para enviarte documentación, considera:
- Monitorizar volúmenes anómalos de compartición
- Correlación entre actividad de SharePoint y actividad de correo
- Alertas de comportamientos atípicos
- Protección de identidad con señales de riesgo
- Registro continuo de eventos en tu SIEM
El futuro de la prevención no está en el encabezado del email. Está en el comportamiento y el contexto.
🧩 Cómo nuestro Adversary-Aware SOC detectó y previno este ataque
Nuestro Adversary-Aware SOC identificó este ataque mediante múltiples capas de detección que van más allá de los controles tradicionales de SPF/DKIM/DMARC:
| Área de Defensa Merabytes | Cómo actuó nuestro SOC | Resultado obtenido |
|---|---|---|
| Análisis de comportamiento de email | Detección de volumen atípico: mismo archivo compartido desde la misma cuenta a múltiples destinatarios en departamentos diferentes. | Alerta temprana antes de que usuarios interactúen con el contenido. |
| Correlación en cuarentena de email | Análisis automático de patrones en emails cuarentenados: mención de “Microsoft” desde dominios no oficiales. | Identificación de suplantación sofisticada que evade SPF/DKIM/DMARC. |
| Monitorización de actividad SharePoint | Detección de compartición masiva inusual desde cuentas de proveedores con patrones de acceso irregulares. | Bloqueo proactivo de enlaces maliciosos antes de distribución masiva. |
| Análisis de contexto y telemetría | Cruce de datos: volumen histórico vs. actual, origen de IPs, comportamiento del remitente. | Detección de cuentas comprometidas en tiempo real. |
| Protección de identidad (Cisco Duo 2FA) | Bloqueo de accesos no validados a SharePoint, incluso con credenciales robadas. | Prevención del compromiso inicial de la cuenta del proveedor. |
| SIEM con reglas personalizadas | Alertas automáticas de eventos correlacionados: cuarentena + mención de proveedor + volumen anómalo. | Respuesta rápida del SOC con contexto completo del incidente. |
Gracias a la visión centrada en el adversario, nuestro SOC no solo detectó la anomalía, sino que entendió la táctica del atacante (abuso de confianza en servicios cloud legítimos) y respondió antes de que el contenido malicioso fuera ejecutado por los usuarios finales.
📚 Lecciones aprendidas
- SPF/DKIM/DMARC no son suficientes contra CloudLOLs. Los atacantes usan infraestructura legítima comprometida que pasa todos los controles.
- El análisis de comportamiento es crítico. Volumen atípico de envíos es una señal de alarma más importante que la autenticación del correo.
- Los proveedores comprometidos son un vector de ataque. Las cuentas de terceros con acceso a SharePoint/O365 pueden ser usadas para distribuir malware.
- La correlación de eventos detecta lo que los controles tradicionales pierden. Cruzar datos de cuarentena, contenido de email y patrones históricos revela ataques sofisticados.
Conclusión
El ataque fue detectado porque nuestro SOC implementa defensa adaptativa y monitoreo continuo de comportamiento. Con Merabytes, la historia terminó bien:
- El volumen anómalo de emails fue detectado por análisis de comportamiento.
- La correlación de eventos (cuarentena + mención de proveedor + volumen) generó alerta inmediata.
- El enlace malicioso fue bloqueado antes de que usuarios interactuaran con él.
- El proveedor fue notificado del compromiso de su cuenta para remediación.
#ciberseguridad #industria #o365security #phishing #merabytes #identitysecurity #cloudlol #sharepoint
Si te interesa proteger tu infraestructura contra ataques sofisticados de CloudLOL y phishing avanzado, visita merabytes.com y solicita acceso a nuestros servicios de monitorización continua, protección de identidad y análisis de comportamiento.
Cómo un Adversary-Aware SOC previene estos escenarios
Descubre cómo nuestro Adversary-Aware Security Operations Center identifica y neutraliza amenazas de forma proactiva antes de que impacten tu negocio.
Un Adversary-Aware SOC va más allá del monitoreo de seguridad tradicional al comprender las tácticas, técnicas y procedimientos (TTPs) de los atacantes. Cazamos amenazas de forma proactiva usando el framework MITRE ATT&CK, análisis de comportamiento e inteligencia de amenazas para detectar ataques que evaden los controles de seguridad convencionales.
Las herramientas de seguridad tradicionales se enfocan en firmas e indicadores conocidos. Nuestra detección por comportamiento analiza anomalías en la actividad de usuarios, patrones de correo, tráfico de red y comportamiento del sistema para identificar ataques sofisticados que usan herramientas legítimas o evaden controles de autenticación. Esto detectó los ataques en estos casos de estudio antes de que ocurriera un daño significativo.
Nuestro SOC opera 24/7 con monitoreo en tiempo real y capacidades de respuesta automatizada. Las alertas críticas activan investigación inmediata y acciones de contención en minutos. Proporcionamos caza de amenazas continua, análisis forense y respuesta coordinada a incidentes para minimizar el impacto y prevenir el movimiento lateral.
Combinamos feeds de inteligencia de amenazas globales con nuestra propia investigación de incidentes reales. Cada ataque que analizamos contribuye a nuestras reglas de detección y base de datos de IOCs, que se comparte inmediatamente en todos los entornos protegidos. Esto significa que si vemos un nuevo patrón de ataque contra un cliente, todos los clientes están automáticamente protegidos en horas.
Absolutamente. Nuestro SOC se integra con sus herramientas existentes de EDR, XDR, SIEM, firewalls, seguridad de correo y protección de identidad. Mejoramos su efectividad correlacionando eventos de todas las fuentes, aplicando lógica de detección consciente de adversarios y proporcionando análisis humano experto que las herramientas automatizadas por sí solas no pueden lograr.