Hace pocos días, investigadores de Microsoft pusieron sobre la mesa un caso que debería encender las alarmas en cualquier equipo de seguridad: una campaña coordinada que combina phishing, suplantación de identidad dentro del correo y una técnica más sofisticada conocida como adversario‑en‑el‑medio (AitM), dirigida especialmente contra organizaciones del sector energético. Lo llamativo no es tanto la novedad de los métodos como la combinación y la paciencia con la que se ejecutan, aprovechando servicios legítimos como SharePoint para que los engaños parezcan inocuos.
El escenario se repite con una lógica eficaz: primero se compromete una cuenta fiable —normalmente perteneciente a un socio o proveedor— y desde ahí se envían notificaciones de “compartición de documentos” que utilizan la imagen y los flujos habituales de SharePoint. El enlace lleva a un formulario falsificado que pide credenciales; cuando la víctima las entrega, los atacantes no solo se quedan con la contraseña, sino que aprovechan la sesión activa (las cookies) para mantener acceso sin que el propietario se dé cuenta.
Una vez dentro, los atacantes suelen implementar reglas en la bandeja de entrada que borran mensajes entrantes y marcan correos como leídos. Ese truco les permite operar con sigilo: la víctima no ve las alertas ni las respuestas de quienes reciben los correos fraudulentos, y cualquier aviso enviado por terceros puede ser interceptado o eliminado. Con el buzón comprometido, los adversarios lanzan nuevas oleadas de phishing desde una identidad “de confianza”, ampliando rápidamente el alcance de la campaña y afectando tanto a contactos internos como externos.
Microsoft describe este modo de operar como una variante del enfoque “living‑off‑trusted‑sites” (LOTS), que consiste en apoyarse en plataformas legítimas —SharePoint, OneDrive, Google Drive, Confluence, etc.— para que los enlaces maliciosos parezcan verídicos y sortear así controles basados en listas o reputación. Puedes leer el análisis técnico que publicó Microsoft en su blog de seguridad aquí: Multistage AitM phishing and BEC campaign abusing SharePoint.
Este tipo de ataques revela dos verdades incómodas: primero, que cambiar la contraseña no siempre es suficiente; y segundo, que los atacantes esperan y planifican pasos posteriores para permanecer dentro del entorno. Revocar sesiones activas, eliminar reglas creadas por el atacante y verificar cambios en las configuraciones de MFA son tareas imprescindibles tras una intrusión, según la propia Microsoft.
Además, el panorama de la ingeniería social está evolucionando. Okta ha documentado kits de phishing diseñados para campañas de vishing —la estafa por teléfono en la que el atacante se hace pasar por soporte técnico— y que permiten sincronizar lo que el estafador dice por teléfono con lo que el usuario ve en el navegador, controlando en tiempo real el flujo de autenticación. El resultado es una capacidad para neutralizar métodos de autenticación que no sean resistentes al phishing. El informe de Okta sobre estas campañas está disponible aquí: Phishing kits adapt to the script of callers.
Los engaños técnicos también renacen con trucos “básicos” pero efectivos: la inserción de credenciales en URLs (el clásico username:password@dominio) puede usarse para mostrar un dominio conocido antes del símbolo @, aunque el navegador termine conectándose a un dominio malicioso que aparece después del @. Netcraft lo ha documentado y explicado con detalle, recordándonos que la apariencia de una URL puede ser deliberadamente engañosa: Retro phishing: Basic auth URLs make a comeback in Japan.
También siguen en uso las técnicas de homoglifos, donde se sustituyen letras por combinaciones visualmente similares (por ejemplo, “rn” por “m”) para crear dominios que a simple vista parecen legítimos. Netcraft ha contado cómo esta táctica continúa rindiendo frutos para los atacantes, porque muchos usuarios procesan las URLs de forma superficial y no analizan cada carácter: The lowest‑tech homoglyph that won't die.
Frente a todo esto, las recomendaciones no son mágicas, pero sí imprescindibles: las organizaciones deben avanzar hacia métodos de autenticación que resistan phishing —como llaves FIDO2 u otros mecanismos basados en certificados— y desplegar políticas de acceso condicional que respondan a riesgo en tiempo real. Microsoft aconseja además habilitar la evaluación continua de acceso para revocar sesiones y tokens cuando se detecte actividad anómala; la documentación oficial explica cómo funcionan estas capacidades: Security defaults y Continuous access evaluation.
Desde la perspectiva operativa, es fundamental que los equipos de TI y seguridad incluyan en sus procesos la verificación y eliminación de reglas de bandeja, la revocación de sesiones y la auditoría de cambios en MFA. También es imprescindible que exista coordinación con proveedores de identidad y con los equipos de respuesta ante incidentes, porque las medidas aisladas —como un simple restablecimiento de contraseña— pueden no cortar todas las vías de persistencia que ya crearon los atacantes.
Para el usuario individual, conviene mantener algunas precauciones prácticas: desconfiar de correos que soliciten credenciales para “ver un documento”, comprobar la URL real antes de introducir datos, evitar aprobar solicitudes de MFA iniciadas por llamadas o mensajes inesperados y reportar cualquier correo sospechoso al equipo de seguridad. Cuando el engaño llega por teléfono, la sincronización entre lo que el atacante dice y lo que aparece en pantalla es precisamente la clave que permite el fraude; mantener una actitud crítica y verificar por canales oficiales es una barrera simple pero efectiva.
El caso reciente pone en evidencia una tendencia mayor: los atacantes prefieren aprovechar plataformas y servicios de confianza para ganar legitimidad y reducir el coste de montar infraestructura propia. Netcraft ha seguido incidentes similares donde servicios de almacenamiento compartido se usan para distribuir tanto enlaces de phishing como software malicioso, lo que demuestra que la táctica es transversal y persistente: Shared document spam delivers remote access tool.
En resumen, la defensa ya no es solo técnica sino también organizativa y humana. Hace falta una mezcla de controles tecnológicos avanzados y de cultura de seguridad dentro de la empresa para detectar y neutralizar campañas que explotan la confianza entre socios y la ubiquidad de plataformas colaborativas. Los incidentes recientes son un recordatorio: no subestimemos ni la astucia de los atacantes ni la importancia de tareas operativas aparentemente “menores” como revisar reglas de correo o revocar sesiones activas.
Si trabajas en seguridad, revisa las guías técnicas que enlazo arriba y prioriza la implementación de MFA resistente al phishing, políticas de acceso condicional y procesos de remediación que incluyan limpieza de reglas y tokens. Si eres usuario, mantén la sospecha razonable frente a solicitudes inesperadas y consulta siempre por canales oficiales antes de entregar credenciales o aprobar accesos.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...