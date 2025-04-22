Los servicios Power Platform de Microsoft ofrecen una plataforma low-code/no-code (LCNC) que incluye análisis de datos (Power BI), desarrollo web (Power Pages), asistentes virtuales (Power Virtual Agent) y una especie de desarrollo de "aplicación completa" (Power Apps). Estas plataformas pueden ofrecer a los usuarios empresariales menos técnicos la capacidad de crear soluciones que tradicionalmente requerirían un desarrollador más técnico con experiencia en programación.

Aunque las plataformas LCNC pueden ser una herramienta potente para los usuarios empresariales, los desarrolladores de la plataforma deben tener cuidado de que la seguridad esté integrada en cada paso. Los usuarios empresariales sin experiencia formal en programación pueden no tener el mismo nivel de concienciación sobre la seguridad que un desarrollador de software moderno. Esto puede aumentar la probabilidad de que se introduzcan configuraciones erróneas de usuario en estas plataformas LCNC.

En esta entrada del blog, veremos cómo, en 2022, el equipo de simulación de adversarios de X-Force Red combinó una configuración errónea habitual por parte de los usuarios en aquel momento con un problema de elusión de la seguridad que todavía estaba presente en la plataforma Power Apps de Microsoft. Esto permitió a X-Force Red traspasar un perímetro externo reforzado, obtener la ejecución de código en un SQL server on-premises y, finalmente, comprometer por completo Active Directory.