🚨 Nueva campaña de phishing para robar credenciales de Microsoft 365 (Actualizado)

¿Qué está ocurriendo?

En las últimas semanas, los investigadores han detectado una sofisticada campaña de phishing que aprovecha servicios legítimos de protección de enlaces (link wrapping) para evadir las defensas y redirigir a víctimas hacia páginas fraudulentas que imitan el inicio de sesión de Microsoft 365.

Los atacantes combinan servicios como Proofpoint y Intermedia, que suelen reescribir enlaces entrantes para escanearlos en busca de amenazas. Lo hacen para ocultar la intención maliciosa y evitar ser detectados al momento del clic.

🧩 ¿Cómo funciona esta técnica en la práctica?

• Compromiso de correo corporativo protegido por Proofpoint, permitiendo que los atacantes envíen correos desde cuentas confiables.

• Estos correos incluyen enlaces acortados (usualmente via servicios como Bitly), agregando una primera capa de ofuscación.

• El enlace es reescrito automáticamente por Proofpoint o Intermedia (URL wrapping), creando una segunda capa de redirección.

• El destinatario hace clic en el enlace aparentemente legítimo, pasa por ambas capas y termina en una página de phishing diseñada para capturar credenciales de Microsoft 365.

🎯 Formas comunes de engaño observadas

Correos haciéndose pasar por notificaciones de buzón de voz, invitando al usuario a “escuchar el mensaje”.

Mensajes simulando notificaciones de Microsoft Teams, informando sobre documentos o mensajes pendientes y solicitando hacer clic para visualizarlos.

Correos que incluyen botones como “Reply in Teams”, dirigidos a páginas falsas de inicio de sesión.

⚠️ ¿Por qué es tan peligrosa esta campaña?

• Uso de servicios legítimos: al emplear Proofpoint o Intermedia, los correos se envían desde cuentas confiables y los enlaces pasan por filtros habituales.

• Cadena de múltiples redirecciones: los filtros automáticos pueden no identificar el destino final como malicioso mientras no figure en las bases de patrones de bloqueo.

• Altamente engañosa: emplea ingeniería social con contexto corporativo familiar (voz, Teams), lo que aumenta la probabilidad de que los destinatarios hagan clic.

✅ ¿Cómo podemos defendernos?

Educación continua: reforzar la formación sobre phishing interno y familiarizar al personal con estas técnicas de múltiples capas.

Verificación manual del enlace final (antes de hacer clic): colocar el cursor sobre el enlace y revisar si coincide con el dominio oficial de Microsoft o servicios corporativos.

Uso de filtros de comportamiento y detección AI: plataformas como Proofpoint, Cisco o Sophos están activadas para bloquear automáticamente cadenas sospechosas (especialmente tras detectar el destino final malicioso).

Monitoreo de cuentas comprometidas: análisis de inicios de sesión o envíos salientes inusuales desde cuentas propias del entorno corporativo.

Imposición de políticas de doble verificación (MFA) para proteger servicios críticos como Microsoft 365.

🛡️ Recomendaciones internas y siguientes pasos

• Compartir este análisis con todos los empleados a través del intranet o correo interno.

• Incluir ejemplos reales de correos fraudulentos en simulaciones formativas.

• Revisar las cuentas corporativas protegidas por servicios de link wrapping para identificar posibles abusos.

• Mantener actualizados los filtros de detección y bloqueo con inteligencia de amenazas relevante.

• Activar alertas de actividad inusual incluso cuando el phishing provenga de cuentas internas confiables.