Microsoft ha lanzado una advertencia que conviene tomar en serio: atacantes están explotando la funcionalidad de colaboración externa de Microsoft Teams para hacerse pasar por personal de TI o helpdesk y convencer a empleados de que les otorguen acceso remoto. Lo inquietante no es tanto el “hack” espectacular, sino la combinación de ingeniería social y herramientas legítimas que permite a los intrusos moverse por redes corporativas sin levantar la sospecha habitual. Esta alerta está detallada en el informe de la compañía, que describe cómo las intrusiones siguen una cadena de pasos muy concretos y repetibles; el análisis completo está disponible en el blog de seguridad de Microsoft aquí.
El punto de partida típico es un mensaje desde fuera del inquilino de Teams: un chat cruzado en el que el atacante se identifica como técnico, menciona un supuesto problema de cuenta o una actualización crítica y pide iniciar una sesión de soporte remoto. Si la víctima acepta, herramientas como Quick Assist (la aplicación de asistencia remota de Windows) entregan al atacante control directo del equipo comprometido, y a partir de ahí comienza la escalada silenciosa. Para entender por qué este vector es tan eficaz conviene recordar que muchos empleados consideran legítimas las solicitudes de ayuda técnica y, en días de presión laboral, es fácil caer en la trampa.
Una vez dentro, los atacantes realizan un reconocimiento rápido con Command Prompt y PowerShell para comprobar privilegios, pertenencia al dominio y alcance de la red, evaluando la posibilidad de moverse lateralmente hacia sistemas con más valor. Posteriormente colocan un pequeño paquete de componentes en rutas con permiso de escritura del usuario, por ejemplo ProgramData, y logran ejecutar código malicioso aprovechando aplicaciones firmadas y de confianza a través de la técnica conocida como DLL side‑loading. Ese uso de binarios legítimos y firmas digitales es lo que hace que la comunicación maliciosa y la actividad posterior se confundan con tráfico y tareas normales. Si quieres profundizar en cómo funciona esa técnica, la base de conocimiento de MITRE lo describe con detalle en su catálogo ATT&CK: DLL Side‑Loading (MITRE ATT&CK).
La comunicación de mando y control suele realizarse sobre HTTPS, lo cual se mezcla con el resto del tráfico saliente y dificulta su detección por controles de red tradicionales. Con persistencia asegurada mediante cambios en el Registro de Windows, los operadores abusan de Windows Remote Management (WinRM) para alcanzar otros equipos unidos al dominio y, en ocasiones, atacar activos de alto valor como controladores de dominio. WinRM, pensado para administración remota legítima, se convierte así en la tubería que facilita la propagación en entornos corporativos. Microsoft y la documentación técnica oficial sobre WinRM explican su funcionamiento y las consideraciones de seguridad en: Windows Remote Management (WinRM) — Microsoft Docs.
En las fases finales del ataque los intrusos despliegan herramientas adicionales de gestión remota en sistemas a los que ya tienen acceso para automatizar recolección de datos y, crucialmente, usan utilidades como Rclone para trasladar archivos a puntos de almacenamiento en la nube externos. El uso de Rclone u otras herramientas legítimas de sincronización permite filtrar y extraer solo la información valiosa, reducir volúmenes y mejorar el sigilo operativo; la propia herramienta y su documentación pública están disponibles en rclone.org, que es la que suelen emplear estos actores para mandar datos fuera del perímetro sin levantar alarmas evidentes.
Todo este proceso, descrito por Microsoft como una cadena de nueve etapas en los casos analizados, demuestra por qué las intrusiones “human‑operated” son tan peligrosas: no dependen de un único exploit de día cero, sino de combinar ingeniería social, herramientas administrativas legítimas y abusos de procesos firmados para permanecer ocultas. Detectar la actividad maliciosa es complicado porque muchas de las acciones parecen tareas rutinarias de soporte o gestión de TI. El informe de Microsoft contiene capturas y un recorrido técnico por estas etapas que ayudan a identificar patrones de comportamiento anómalos; puedes consultarlo en su blog de seguridad: Cross‑tenant helpdesk impersonation playbook.
Ante este escenario, las recomendaciones tienen que combinar controles técnicos con prevención humana. Microsoft insiste en que las cuentas externas en Teams deben tratarse, por defecto, como no confiables y que los administradores limiten o monitoricen estrictamente las herramientas de asistencia remota. También aconseja restringir el uso de WinRM a sistemas concretos y someter a supervisión las transferencias hacia servicios en la nube externos. Para documentación sobre cómo gestionar el acceso externo en Teams y reducir la exposición te puede servir la guía oficial: Manage external access in Microsoft Teams — Microsoft Docs.
Además de las medidas de configuración, hay buenas prácticas operativas que mitigan el riesgo: educar a los empleados para que verifiquen la identidad de quien solicita soporte por canales alternativos, exigir verificaciones adicionales para sesiones remotas y activar controles de seguridad que alerten sobre ejecuciones atípicas de aplicaciones firmadas, cambios persistentes en el Registro y uso inusual de herramientas de sincronización de ficheros. Soluciones de detección y respuesta en endpoints (EDR) y políticas de aplicación por lista blanca también dificultan la ejecución de cargas útiles a través de binarios legítimos.
No es una solución única ni milagrosa: defenderse ante este tipo de campañas requiere supervisión continua, segmentación de la red, menor uso de cuentas con privilegios permanentes y esquemas de administración más estrictos (por ejemplo, acceso just‑in‑time o estaciones de trabajo dedicadas para tareas administrativas). La pauta general es elevar la sospecha ante peticiones de soporte inesperadas y reducir la capacidad de un atacante para usar herramientas legítimas como palanca de ataque.
Si gestionas una organización, revisa las políticas de colaboración externa en Teams, evalúa quién puede iniciar o aceptar sesiones de asistencia remota y configura alertas para detectar patrones inusuales. Para los equipos técnicos, conviene repasar logs de PowerShell y WinRM, auditar modificaciones en el Registro y controlar procesos que inician conexiones HTTPS salientes hacia dominios poco habituales. La combinación de formación, controles administrativos y detección basada en comportamiento es la mejor defensa contra una clase de intrusión que aprovecha nuestra confianza en las herramientas cotidianas.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...