Ciberdelincuentes están utilizando correos electrónicos auténticos de Microsoft 365 para instalar software malicioso y tomar control de los dispositivos de los empleados. Expertos de Kaspersky han alertado sobre esta modalidad que, al provenir de la dirección oficial microsoft-noreply@microsoft.com, burla los filtros de seguridad y engaña con mayor facilidad.
El ataque se inicia con un correo legítimo de Microsoft 365 que notifica la supuesta compra de licencias de software por un valor considerable. Lo alarmante es que, si bien el correo es genuino, los estafadores manipulan el apartado de «Información de facturación» para insertar un número de teléfono falso y un mensaje que invita a llamar en caso de problemas con la transacción.
Preocupado por una compra no realizada, y sin poder responder al correo automático, el empleado se comunica al número falso. Al otro lado de la línea, un supuesto técnico de Microsoft «ofrece ayuda» y lo induce a instalar un programa. Este software, en realidad, es malicioso, permitiendo a los atacantes monitorear la actividad del usuario, robar credenciales, acceder a cuentas bancarias o incluso tomar control total del equipo.
Kaspersky sugiere que los delincuentes podrían obtener credenciales de acceso para generar estas compras falsas y que el sistema envíe los correos automáticamente. Al poder modificar solo la información de facturación, logran que el mensaje parezca legítimo en todos los demás aspectos, evadiendo así las soluciones de seguridad convencionales.
Riesgos extendidos
El peligro no se limita al empleado afectado. Lisandro Ubiedo, analista de seguridad del Equipo Global de Investigación y Análisis para América Latina en Kaspersky, destaca que esta estafa explota un engaño emocional simple: el miedo a un error costoso. La aparente legitimidad del correo de Microsoft reduce las sospechas y acelera la reacción de la víctima.
Además, el uso de computadoras de trabajo para actividades personales amplifica la superficie de ataque. Según el estudio «Resaca Digital» de Kaspersky, un alto porcentaje de usuarios latinoamericanos revisa su correo personal (73%), accede a redes sociales (49%) y realiza compras en línea (42%) desde sus equipos laborales. Esto crea oportunidades para que los ciberdelincuentes aprovechen vulnerabilidades como contraseñas débiles o accesos simultáneos a servicios personales.
En el ámbito corporativo, un solo equipo comprometido puede convertirse en la puerta de entrada para ataques a toda la red. Los atacantes pueden moverse lateralmente, recolectar credenciales internas, interceptar información confidencial e incluso desplegar ataques de ransomware, poniendo en riesgo la continuidad operativa de la empresa. «Muchas soluciones de seguridad no bloquean estos mensajes, porque son legítimos. No se trata de un correo falso, sino de un uso malintencionado de un sistema verdadero. Por eso, más que nunca, la prevención y la educación son clave”, añade Ubiedo.
Recomendaciones
Para proteger a su empresa y empleados de esta amenaza, Kaspersky ofrece las siguientes recomendaciones:
No confíe en números de contacto en correos electrónicos: Nunca llame a números de teléfono que aparecen directamente en correos electrónicos sospechosos. Siempre verifique el contacto oficial a través de la página web del proveedor o consulte con el departamento de sistemas de su empresa.
Implemente protección digital en todos los dispositivos de trabajo: Asegúrese de que todos los equipos utilizados para trabajar cuenten con un software de seguridad robusto que pueda detectar y bloquear intentos de control remoto, acceso a archivos privados o registro de pulsaciones.
Revise regularmente las cuentas de Microsoft 365: Monitoree las cuentas activas, sus permisos y patrones de uso para identificar cualquier actividad inusual a tiempo.
Establezca protocolos internos claros: Desarrolle una guía sencilla y accesible para que los empleados sepan cómo actuar ante la recepción de correos sospechosos o la sospecha de haber caído en una estafa.
Capacite constantemente al personal: Realice entrenamientos breves, prácticos y periódicos para que los empleados aprendan a identificar las señales de alerta de intentos de estafa. Herramientas como Kaspersky Automated Security Awareness Platform pueden facilitar estos programas.
Fuente: Kaspersky
