- Una campaña masiva de phishing explota funciones legítimas de Microsoft Teams para engañar a miles de usuarios.
- Los atacantes usan nombres de equipos ofuscados con temática de facturación y soporte para provocar llamadas a números fraudulentos.
- Manufactura, ingeniería, construcción, tecnología, educación y servicios profesionales se encuentran entre los sectores más golpeados.
- La ingeniería social y el uso de canales de confianza obligan a reforzar la seguridad en capas y la formación de los empleados.
Una nueva campaña de phishing apoyada en Microsoft Teams está poniendo en jaque a organizaciones de todo el mundo, con especial impacto en Estados Unidos y Europa. Lejos de los correos electrónicos clásicos con enlaces maliciosos, los delincuentes se apoyan ahora en las funciones legítimas de la plataforma de colaboración de Microsoft para hacer que sus avisos parezcan totalmente fiables a ojos de los empleados.
Según los datos recopilados por Check Point Research, la división de inteligencia de amenazas de Check Point Software, esta ofensiva ha logrado impactar a 6.135 usuarios distintos mediante 12.866 mensajes, con una media cercana a los 1.000 envíos por día. El volumen y la sofisticación de la estafa muestran que, cuando se combina la ingeniería social con herramientas de uso diario como Microsoft Teams, el margen de error para los usuarios se reduce considerablemente.
Cómo funciona la campaña de phishing en Microsoft Teams
La mecánica del ataque empieza con la creación de equipos de Microsoft Teams con nombres que simulan avisos urgentes, casi siempre relacionados con facturación, suscripciones o incidencias de pago. Para evitar que los filtros automáticos salten a la vista, los ciberdelincuentes recurren a técnicas de ofuscación, como la sustitución de letras por caracteres parecidos o el uso de glifos visualmente similares, de forma que el texto resulta legible para la víctima pero más difícil de detectar para los sistemas de seguridad automatizados.
Una vez configurado el equipo, los atacantes utilizan la función estándar de la plataforma, «Invitar a un invitado», para enviar notificaciones a usuarios externos. El detalle clave es que la invitación llega desde la propia infraestructura de Microsoft, lo que hace que el aviso tenga apariencia de comunicación totalmente legítima. El usuario recibe una notificación de Teams que destaca el nombre del equipo, reforzando la sensación de urgencia al tratarse de supuestos problemas de cobros o facturas pendientes.
En lugar de incluir enlaces dañinos o archivos adjuntos, el mensaje pide al destinatario que llame a un número de teléfono de soporte para resolver la supuesta incidencia. Al otro lado de la línea se encuentra el propio atacante, que puede aprovechar la llamada para solicitar datos sensibles, guiar a la víctima para que instale software de control remoto, intentar el pago de servicios inexistentes o recopilar información adicional de la organización. Es una mezcla de phishing tradicional con vishing (fraude por voz) que se apoya en una plataforma de confianza como Teams.
Este enfoque tiene dos ventajas para los delincuentes: por un lado, al no recurrir a enlaces o ficheros maliciosos, evitan muchos de los mecanismos clásicos de detección basados en URL sospechosas; por otro, explotan el hecho de que una notificación generada por Microsoft Teams suele considerarse segura de entrada, especialmente en entornos corporativos en los que la herramienta ya forma parte del día a día de trabajo.
Alcance global y sectores más afectados por el ataque
Los investigadores de Check Point Research han contabilizado hasta el momento 12.866 correos asociados a esta campaña, con un total de 6.135 usuarios impactados. Esto se traduce en una media aproximada de 990 mensajes diarios, una cifra que refleja tanto la escala como la continuidad de la ofensiva. No se trata, por tanto, de un episodio aislado, sino de una operación sostenida que busca exprimir al máximo el alcance de Microsoft Teams.
La campaña no se centra en un tipo concreto de organización, sino que apunta de forma masiva a empresas y entidades de múltiples sectores. No obstante, el análisis de Check Point revela que hay ámbitos especialmente castigados: manufactura, ingeniería y construcción acumulan el 27,4 % de los casos, mientras que tecnología y educación concentran el 18,6 % y los servicios profesionales suponen un 11,2 %. A estos se suman administraciones públicas (8,1 %) y compañías del área financiera (7,3 %), demostrando que el atractivo del fraude alcanza tanto a entornos industriales como a sectores con datos especialmente sensibles.
Desde el punto de vista geográfico, Estados Unidos concentra el 67,9 % de los incidentes, lo que la convierte en la región más golpeada por esta estrategia de phishing en Microsoft Teams. Europa representa el 15,8 % de los casos detectados, con un impacto relevante en organizaciones empresariales y entidades educativas del continente, mientras que Asia registra el 6,4 %. En Latinoamérica, la campaña también ha tenido cierto recorrido, con un 2,4 % de los incidentes repartidos principalmente entre Brasil, México y Argentina, seguidos de Colombia, Chile y Perú.
Ese reparto evidencia que los atacantes han preferido explotar la adopción generalizada de Microsoft 365 y Teams en lugar de concentrarse en un sector vertical o un país muy concreto. Al usar Teams como puerta de entrada, cualquier organización que dependa de este entorno de colaboración se convierte en un objetivo potencial, ya que el patrón de notificación es similar para todos los usuarios independientemente de su sector o tamaño.
En palabras de Rafael López, ingeniero de seguridad especializado en protección del correo electrónico en Check Point Software, los delincuentes están utilizando «funciones legítimas de Microsoft Teams y nombres de equipos ofuscados para eludir los controles de seguridad y engañar a los usuarios con avisos falsos de facturación». El experto subraya que esta táctica ilustra hasta qué punto la ingeniería social combinada con plataformas confiables puede lograr altas tasas de éxito si no se combinan soluciones de protección avanzadas y una adecuada formación a los empleados.
Una campaña basada en confianza y ingeniería social, no en malware
Uno de los aspectos más llamativos de esta campaña de phishing en Microsoft Teams es que se aleja del patrón clásico de los ataques basados en descargas maliciosas o enlaces a sitios cargados de código dañino. En este caso, no se emplean archivos adjuntos sospechosos ni URLs peligrosas, algo que a priori podría hacer pensar que el riesgo es menor. Sin embargo, ocurre justo lo contrario: al renunciar al malware tradicional, los atacantes se apoyan por completo en la manipulación psicológica y en el prestigio de la plataforma para incrementar la probabilidad de éxito.
El vector principal es la voz: la invitación de Teams empuja a la víctima a hacer una llamada a un servicio de soporte presuntamente oficial. Esa conversación telefónica permite a los criminales ajustar el discurso en tiempo real, adaptarse a las dudas del usuario y ganarse su confianza. Es un terreno en el que la tecnología de detección automática tiene menos margen de maniobra, porque la interacción se traslada fuera de los canales digitales monitorizados y pasa a un plano humano mucho más difícil de filtrar.
Además, el hecho de que la operación utilice herramientas completamente legítimas de Microsoft 365 complica la labor de los equipos de seguridad. La creación de equipos, el uso de la opción de invitación a invitados y el envío de notificaciones son comportamientos habituales en cualquier entorno que use Teams de forma intensiva. El desafío reside en identificar qué solicitudes encajan en una actividad normal y cuáles responden a un patrón de abuso coordinado.
Este escenario encaja con una tendencia creciente: los atacantes ya no necesitan desarrollar malware sofisticado para provocar daños significativos. En muchas ocasiones, basta con sacar partido a las relaciones de confianza preexistentes y a la costumbre de los usuarios de aceptar como válidas las notificaciones que parecen proceder de las plataformas corporativas. Cuando el engaño se integra en el flujo natural de trabajo, resulta más probable que un empleado, por muy cuidadoso que sea, acabe cayendo en la trampa.
Riesgos para empresas europeas y españolas que usan Microsoft Teams
En el contexto europeo, donde Microsoft 365 y Teams se han convertido en piezas clave de la oficina digital, este tipo de campaña supone un riesgo directo tanto para empresas privadas como para organismos públicos. Aunque el mayor volumen de incidentes se ha detectado en Estados Unidos, el hecho de que casi un 16 % de los casos se concentren en Europa debería servir como aviso para los equipos de TI y ciberseguridad de la región, incluida España.
La amenaza no se limita al robo de credenciales o a una llamada aislada. A través de una conversación de soporte falsa, los atacantes pueden llegar a solicitar a los usuarios que instalen herramientas de acceso remoto, faciliten información interna sobre la estructura de la organización, compartan capturas de pantalla de paneles sensibles o incluso autoricen pagos urgentes bajo la excusa de evitar cortes de servicio. En compañías con procesos financieros complejos o numerosos proveedores, este tipo de maniobras puede derivar en fraude económico directo o en filtraciones de información.
En el caso de administraciones públicas, centros universitarios y entidades del sector educativo, también muy presentes en los porcentajes recogidos por Check Point, el impacto puede traducirse en accesos indebidos a datos personales, historiales académicos, documentación interna y sistemas de comunicación que forman parte de la infraestructura de servicios al ciudadano. Aunque la campaña descrita no instale malware por defecto, la explotación de la información recabada por teléfono puede abrir la puerta a ataques posteriores más graves, como campañas de suplantación de identidad o accesos no autorizados a otros sistemas.
Para las empresas españolas que llevan años desplegando Teams como pieza central del teletrabajo y la colaboración híbrida, la lección es clara: no basta con proteger el correo electrónico. Los procesos internos deben contemplar la posibilidad de que un empleado reciba una invitación sospechosa en Teams y, ante la presión de un supuesto problema de facturación, acabe marcando un número de teléfono sin pasar por los cauces habituales de soporte. Incluir este tipo de escenarios en las guías internas y en las formaciones periódicas resulta clave para reducir el riesgo.
En paralelo, conviene que los responsables de ciberseguridad revisen si sus herramientas de monitorización y respuesta cubren de forma adecuada la actividad en Teams: detección de patrones inusuales en la creación de equipos, volúmenes anómalos de invitaciones a invitados o picos en la recepción de notificaciones relacionadas con facturación, por ejemplo. Aunque el ataque se consuma por teléfono, la huella previa suele dejar rastros que pueden ser analizados si se dispone de la telemetría adecuada.
Recomendaciones para mitigar el phishing en Microsoft Teams
Ante una campaña de phishing tan centrada en la ingeniería social y en la explotación de funciones legítimas, la respuesta pasa necesariamente por un enfoque en capas que combine tecnología, procesos y concienciación. No hay una única medida mágica, pero sí un conjunto de buenas prácticas que, sumadas, pueden reducir de forma notable la superficie de ataque.
En primer lugar, los expertos recomiendan reforzar la protección de identidad en Microsoft 365. Aunque en esta campaña el gancho principal es la llamada telefónica, sigue siendo crucial que las credenciales estén bien protegidas. La autenticación multifactor (MFA), las políticas de acceso condicional y el bloqueo de inicios de sesión desde ubicaciones improbables o dispositivos no administrados ayudan a limitar el daño si, en algún punto, el atacante logra hacerse con usuario y contraseña.
En segundo lugar, es esencial incluir a Microsoft Teams en las estrategias de formación y concienciación. Muchas organizaciones han centrado sus campañas de sensibilización en el correo electrónico, pero todavía no han trasladado los mismos mensajes de alerta al entorno de la colaboración en tiempo real. Los empleados deben saber que una invitación a un equipo desconocido, con un nombre extraño relacionado con pagos o facturas y que, además, pide llamar con urgencia a un número de soporte, es un indicio claro de posible fraude.
Una medida práctica que las empresas pueden implantar es establecer canales oficiales y únicos de contacto con el soporte interno o con los proveedores críticos. Si los usuarios tienen claro que las incidencias de facturación, accesos o licencias solo se tramitan a través de un portal corporativo concreto o de un número conocido, será más sencillo que desconfíen de llamadas espontáneas sugeridas en invitaciones de Teams. Esta clase de pautas internas reduce la dependencia de la intuición individual y pone el foco en los procedimientos.
Por último, cobra importancia la monitorización proactiva del ecosistema de Microsoft 365. Soluciones de seguridad que integren la actividad de Teams, correo, SharePoint y otros servicios en la nube permiten detectar patrones sospechosos, como un aumento repentino de notificaciones con temáticas de facturación o un uso anómalo de la función «Invitar a un invitado». Aunque no todos los eventos serán maliciosos, ese contexto facilita activar revisiones y, llegado el caso, advertir con rapidez a los empleados.
La combinación de estas medidas, junto con la recomendación de desconfiar de cualquier mensaje que mezcle urgencia y dinero en plataformas de colaboración, puede marcar la diferencia entre frenar la campaña en sus primeras fases o permitir que derive en incidentes de mayor calado.
Todo apunta a que las campañas de phishing que se apoyan en Microsoft Teams y en otras herramientas colaborativas seguirán evolucionando, aprovechando la inercia del trabajo híbrido y la confianza que los usuarios depositan en las notificaciones corporativas. Entender cómo se estructura este tipo de estafa, qué sectores están siendo más golpeados y qué margen de maniobra tienen las empresas europeas —incluidas las españolas— para reforzar sus defensas se ha convertido en una pieza más de la gestión diaria de la ciberseguridad. Al final, la capacidad de una organización para resistir estos ataques dependerá tanto de la tecnología desplegada como de la cultura interna a la hora de tratar cualquier aviso de facturación o soporte que llegue, aunque venga envuelto en el familiar logo de Microsoft Teams.
