Investigadores en seguridad han identificado una táctica limpia y efectiva para que campañas de phishing pasen desapercibidas: aprovechar plataformas de creación de aplicaciones sin código, como Bubble, para construir y alojar páginas maliciosas que simulan los portales de inicio de sesión de Microsoft. El informe de Kaspersky desentraña cómo este método explota la confianza que generan dominios legítimos y la complejidad del código generado automáticamente.
Bubble es una plataforma que permite crear aplicaciones sin escribir código, apoyándose en inteligencia artificial para generar la interfaz y la lógica. Las aplicaciones resultantes suelen alojarse bajo el dominio *.bubble.io, un espacio considerado legítimo por muchas soluciones de seguridad perimetral. Esa aparente legitimidad hace que los enlaces incluidos en correos maliciosos no se marquen automáticamente como peligrosos, y así el usuario llega a una página que en apariencia no despierta sospechas.
La técnica no se basa únicamente en el uso de un dominio confiable. Los atacantes crean aplicaciones con grandes paquetes de JavaScript y estructuras basadas en Shadow DOM que, por su complejidad y aislamiento, son difíciles de analizar tanto manual como automáticamente. Esa maraña de código puede ocultar redirecciones y formularios falsos destinados a capturar credenciales, y en algunos casos la verdadera página de suplantación se presenta tras comprobaciones como las que realiza Cloudflare, lo que añade una capa adicional de legitimidad aparente.
El peligro real es que cualquier dato ingresado en esas páginas —usuario y contraseña, y en algunos casos códigos o confirmaciones secundarias— termina en manos de los delincuentes. Con credenciales de Microsoft 365 un atacante puede acceder al correo, al calendario y a otros servicios corporativos, lo que abre la puerta a fraudes financieros, filtración de información sensible y movimientos laterales dentro de la red de una organización.
Además, los investigadores advierten que esta forma de evasión tiene todas las cartas para convertirse en una pieza estándar dentro de kits de phishing y plataformas de phishing-as-a-service (PhaaS). Estos servicios ya integran técnicas como el robo de cookies de sesión, capas “adversary-in-the-middle” que intentan sortear la autenticación de dos factores, geo-restricciones para seleccionar víctimas y trucos anti-análisis. Al sumar la capacidad de ocultar páginas maliciosas en infraestructuras legítimas, la eficacia y el alcance de las campañas se incrementan.
Ante este escenario, no todo está perdido: la prevención y la concienciación siguen siendo herramientas poderosas. Confirmar la URL real antes de introducir credenciales, desconfiar de enlaces que llegan por correo aunque apunten a dominios conocidos, y utilizar métodos de autenticación más robustos como claves de seguridad o Passkeys reducen el impacto de este tipo de fraudes. Para organizaciones, activar y afinar mecanismos de protección en plataformas como Microsoft 365 —incluyendo soluciones de anti-phishing y controles de acceso condicional— es una barrera adicional recomendada por los fabricantes.
Si quieres profundizar en cómo funcionan estas campañas y qué medidas recomiendan los organismos de seguridad, los informes y guías de Kaspersky son un buen punto de partida (ver análisis), y autoridades como la CISA o el NCSC del Reino Unido mantienen recomendaciones prácticas para detectar y reportar phishing. Microsoft también publica guías para proteger entornos de Microsoft 365 y configurar defensas anti-phishing en su documentación técnica.
En paralelo, los responsables de plataformas no-code tienen por delante un reto importante: equilibrar la experiencia de creación y despliegue rápido con controles de abuso más estrictos. Algunos medios, como BleepingComputer, han intentado obtener la versión de Bubble sobre estos hallazgos, lo que pone de relieve la necesidad de respuestas coordinadas entre proveedores, comunidades de seguridad y usuarios para que la flexibilidad que ofrecen estas herramientas no se convierta en una vía fácil para el fraude.
En el día a día, la mejor defensa sigue siendo la prudencia: mirar con ojo crítico los correos inesperados, validar enlaces antes de interactuar, activar niveles superiores de verificación y recurrir a los canales oficiales cuando algo no encaje. La técnica puede cambiar, pero la rutina de comprobar antes de confiar sigue siendo una de las barreras más efectivas contra el robo de credenciales.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...