Redazione RHC : 29 agosto 2025 09:02
En los últimos meses, como se informó previamente en Red Hot Cyber, ha surgido un nuevo frente en el panorama del phishing corporativo: los ataques a Microsoft Teams, en los que los atacantes se hacen pasar por personal de TI o del servicio de asistencia. Aprovechando las funciones básicas de la plataforma, como la comunicación externa permitida por defecto, los atacantes interactúan con los usuarios mediante mensajes, llamadas o solicitudes para compartir la pantalla, a menudo infiltrándose sin que nadie se dé cuenta en el chat de Teams. La eficacia de estas tácticas ha aumentado junto con la adopción generalizada de Teams como la principal herramienta de trabajo colaborativo.
El daño puede ocurrir cuando la víctima, creyendo que está ayudando a un técnico interno, accede a herramientas o servicios de control remoto compartido (como Quick Assist, AnyDesk o RMM). Esto permite a los atacantes instalar malware, comprometer endpoints, desactivar protecciones y avanzar lateralmente dentro de la red corporativa. Una campaña, denominada VEILDrive, mostró cómo el atacante explotó una cuenta previamente comprometida para enviar mensajes de phishing a través de Teams y obtener acceso inicial.
Un modus operandi frecuente consiste en el bombardeo de correos electrónicos, una avalancha rápida de correos electrónicos —incluso miles en tan solo unos minutos— para crear una sensación de urgencia y obligar a las víctimas a buscar ayuda técnica.
Los atacantes usan este pretexto para contactarlos a través de Teams. En este contexto, las víctimas reciben mensajes de dominios .onmicrosoft.com no verificados que incluyen palabras como «servicio de asistencia», «TI» o «soporte», lo que aumenta el riesgo de confusión.
Los atacantes a veces empiezan comprometiendo cuentas internas de Teams o creando inquilinos de Entra ID independientes, a menudo utilizando dominios .onmicrosoft.com, especialmente sin configuraciones personalizadas. Las diferencias entre cuentas personales, licencias de prueba e inquilinos corporativos afectan los registros generados y las funciones disponibles.
El phishing de chat individual aprovecha la facilidad con la que se pueden buscar usuarios externos a través de Teams y enviarles mensajes, una función compatible con la interfaz de la plataforma. Aunque Microsoft activa alertas ante mensajes externos o sospechosos, estas pueden eludirse en etapas posteriores del ataque.
Los registros de Microsoft 365 proporcionan información importante para la investigación: eventos como ChatCreated, MessageSent, UserAccepted y TeamsImpersonationDetected permiten reconstruir conversaciones sospechosas. Identifica clics en alertas de comunicación externa e incluso detecta intentos de suplantación de identidad.
En el caso de llamadas de voz (vishing), Teams no muestra alertas de la víctima y los registros son limitados, generando solo eventos como ChatCreated y MessageSent, lo que dificulta distinguir estas llamadas de los chats de texto. Además, compartir la pantalla se puede habilitar fácilmente si el usuario cae en la trampa, mientras que el control remoto está bloqueado por defecto, pero se puede activar mediante políticas, lo que aumenta la superficie de ataque.
Para contrarrestar esta amenaza, Team AXON ofrece una lógica de detección basada en UEBA, enriquecida con puntuación y contexto: chats externos inusuales, dominios .onmicrosoft.com, patrones con palabras clave sospechosas (p. ej., helpdesk), uso de caracteres no ASCII (emojis) y picos de TIMailData relacionados con el bombardeo de correo electrónico. El análisis también considera eventos como «UserAccepted», respuestas de usuarios o la adición de miembros a hilos.
Las soluciones técnicas completan el panorama: se recomienda el uso de un sistema de Detección y Respuesta de Endpoints (EDR) combinado con un antivirus de última generación (Next-Gen AV). Estas herramientas pueden bloquear comportamientos anómalos, interceptar aplicaciones maliciosas y respaldar las actividades de investigación posteriores al evento.
RedazioneSe ha descubierto una falla crítica de día cero, clasificada como CVE-2025-6543, en los sistemas Citrix NetScaler. Esta vulnerabilidad ha sido explotada activamente por hackers maliciosos desde mayo...
Una falla de seguridad en las apps de mensajería de WhatsApp para iOS y macOS de Apple ha sido corregida, según informó la compañía, tras ser probablemente explotada ampliamente junto con una vul...
NetScaler ha alertado a los administradores sobre tres nuevas vulnerabilidades en NetScaler ADC y NetScaler Gateway, una de las cuales ya se está utilizando en ataques activos. Hay actualizaciones di...
Un Jueves Negro para millones de usuarios de Microsoft Teams en todo el mundo. Una función clave de la plataforma de colaboración, la apertura de documentos incrustados de Office, ha sido repentinam...
Mientras que el auge de los robots en China, el mayor mercado y productor mundial de robots, atrae la atención de la industria global de las tecnologías de la información (TI), la aparición de un ...
