Microsoft alerta de una campaña masiva de Phishing

Microsoft ha revelado detalles de una campaña masiva de Phishing para robo de credenciales a gran escala. Utiliza una combinación de señuelos con temática de códigos de conducta y servicios de correo electrónico legítimos para dirigir a los usuarios a dominios controlados por los atacantes y robar tokens de autenticación.

La campaña multietapa, observada a mediados de abril, tuvo como objetivo a más de 35.000 usuarios en más de 13.000 organizaciones en 26 países, con el 92% de los objetivos ubicados en los EE. UU. La mayoría de los correos electrónicos de phishing fueron dirigidos a los sectores de salud y ciencias de la vida (19%), servicios financieros (18%), servicios profesionales (11%) y tecnología y software (11%).

«Los señuelos de esta campaña utilizaban plantillas HTML pulidas, de estilo empresarial, con diseños estructurados y declaraciones de autenticidad preventivas, lo que los hacía parecer más creíbles que los correos electrónicos de phishing típicos y aumentaba su verosimilitud como comunicaciones internas legítimas», dicen desde el equipo de investigación de seguridad de Microsoft Defender y Microsoft Threat Intelligence. Debido a que los mensajes contenían acusaciones y reiteradas peticiones de acción con plazos definidos, la campaña creó una sensación de urgencia y presión para actuar.

Los correos electrónicos utilizados en la campaña emplean señuelos relacionados con revisiones del código de conducta, con nombres de visualización como «Código de Conducta Regulatorio Interno», «Comunicaciones con la Fuerza Laboral» e «Informe de Conducta del Equipo». Los asuntos de estos correos electrónicos incluyen «Registro de caso interno emitido según la política de conducta» y «Recordatorio: el empleador abrió un registro de caso de incumplimiento».

En la parte superior de cada mensaje, un aviso indicaba que el mensaje había sido ‘emitido a través de un canal interno autorizado’ y que los enlaces y archivos adjuntos habían sido ‘revisados ​​y aprobados para un acceso seguro’, lo que reforzaba la supuesta legitimidad del correo electrónico», explicó Microsoft.

Microsoft ha determinado que los correos se envían desde un servicio de correo electrónico legítimo. Los mensajes también incluyen un archivo PDF adjunto que supuestamente proporciona información adicional sobre la revisión de conducta, incitando a las víctimas a hacer clic en un enlace dentro del documento para iniciar el proceso de obtención de credenciales. La cadena de ataque dirige a las víctimas a través de múltiples rondas de CAPTCHA y páginas intermedias diseñadas para dar al esquema una apariencia de legitimidad, al mismo tiempo que impiden el paso de las defensas automatizadas.

En última instancia, el proceso culmina con un inicio de sesión que utiliza tácticas de phishing de intermediario (AiTM) para obtener credenciales y tokens de Microsoft en tiempo real, lo que permite a los atacantes eludir la autenticación multifactor (MFA). Según Microsoft, el destino final depende de si el ataque se inició desde un dispositivo móvil o un ordenador de escritorio.

Cuidado con el Phishing

Esta revelación surge a raíz del análisis de Microsoft sobre el panorama de amenazas por correo electrónico entre enero y marzo de 2026, que reveló que el phishing mediante códigos QR se consolidó como el vector de ataque de mayor crecimiento, mientras que el phishing con CAPTCHA evolucionó rápidamente en todos los tipos de carga útil. En total, el gigante tecnológico afirmó haber detectado alrededor de 8300 millones de amenazas de phishing por correo electrónico.

De estos, casi el 80% se basaban en enlaces, donde los archivos HTML y ZIP de gran tamaño representaban una enorme parte de las cargas maliciosas distribuidas mediante correos electrónicos de phishing. El objetivo final de la gran mayoría de estos ataques era la obtención de credenciales, y la distribución de malware se redujo a tan solo un 5-6% al final del trimestre.

En un informe publicado en febrero, la Unidad 42 de Palo Alto Networks destacó cómo los ciberdelincuentes están abusando de los códigos QR como acortadores de URL para ocultar destinos maliciosos, los enlaces profundos dentro de las aplicaciones para robar credenciales de cuentas y eludiendo la seguridad de las tiendas de aplicaciones mediante enlaces a descargas directas de aplicaciones maliciosas.

Los datos de Microsoft muestran un aumento masivo en los ataques de phishing mediante códigos QR durante el período de tres meses, ya que el volumen de ataques pasó de 7,6 millones en enero a 18,7 millones en marzo, lo que representa un incremento del 146 %. Un hecho destacable observado a finales de marzo fue el uso de códigos QR insertados directamente en el cuerpo de los correos electrónicos. Por otro lado, las estafas de compromiso de correo electrónico empresarial (BEC) mostraron mayores fluctuaciones, superando los 4 millones de ataques en marzo de 2026, frente a los más de 3,5 millones de enero y los más de 3 millones de febrero. En total, se registraron 10,7 millones de ataques BEC.

Nada nuevo bajo el sol… Hace un par de semanas te alertábamos de las estafas por la declaración de la renta que vuelven cada año cuando toca ajustar cuentas con la agencia tributaria. Las campañas de phishing identificadas se están enfocando sobre todo en dos líneas principales: la suplantación de las autoridades fiscales, con cebos relacionados con documentos caducados, reembolsos pendientes o verificaciones de cuentas; y las dirigidas directamente a instituciones financieras, clientes de bancos y proveedores de servicios financieros. ¡Cuidado; no piques!