Security

Campaña de phishing AiTM contra usuarios de Microsoft 365

3 min de lectura

Resumen

Microsoft ha detallado una campaña de phishing adversary-in-the-middle (AiTM) a gran escala que utilizó falsas investigaciones de código de conducta para robar tokens de autenticación. El ataque combinó ingeniería social elaborada, páginas CAPTCHA escalonadas y un flujo legítimo de inicio de sesión de Microsoft, lo que subraya por qué son importantes las protecciones resistentes al phishing y unas defensas de correo más sólidas.

¿Necesita ayuda con Security?Hablar con un experto

Introducción

Microsoft ha descubierto una sofisticada campaña de phishing que afectó a más de 35.000 usuarios de más de 13.000 organizaciones en 26 países. Para los administradores de Microsoft 365 y de seguridad, esto es importante porque el ataque utilizó una técnica adversary-in-the-middle (AiTM) para capturar tokens de autenticación, lo que puede eludir MFA no resistente al phishing y dar a los atacantes acceso inmediato a las cuentas.

Qué hay de nuevo

Entre el 14 y el 16 de abril de 2026, Microsoft observó una operación de phishing de varias etapas que utilizó como señuelo investigaciones de código de conducta y cumplimiento interno. Los mensajes estaban diseñados para parecer comunicaciones internas legítimas y se enviaron en correos autenticados desde dominios controlados por los atacantes a través de un servicio legítimo de entrega de correo.

Las características clave de la campaña incluyeron:

  • Correos con temática de cumplimiento bien elaborados con asuntos urgentes sobre conducta indebida de empleados o casos de incumplimiento
  • Archivos PDF adjuntos que indicaban a los destinatarios revisar los materiales del caso
  • Múltiples páginas escalonadas incluyendo comprobaciones CAPTCHA y pasos intermedios de “verificación”
  • Un aviso final de inicio de sesión de Microsoft integrado en un flujo AiTM para interceptar tokens de sesión
  • Amplio impacto en distintos sectores, especialmente Healthcare, Financial Services, Professional Services y Technology

Microsoft indicó que la mayoría de las víctimas estaban en Estados Unidos, pero la campaña afectó a organizaciones de todo el mundo.

Por qué este ataque es importante

A diferencia del phishing básico de credenciales, los ataques AiTM actúan como proxy de la sesión de autenticación en tiempo real. Eso significa que, incluso cuando los usuarios completan MFA, los atacantes aún pueden capturar tokens y reutilizarlos para acceder a las cuentas.

Esta campaña también muestra cómo están evolucionando las tácticas de phishing:

  • Los atacantes usaron plantillas HTML de estilo empresarial para mejorar la credibilidad
  • Aprovecharon la presión de tiempo y acusaciones al estilo de RR. HH. para impulsar una acción rápida
  • CAPTCHA y las páginas escalonadas ayudaron a filtrar análisis de seguridad automatizados
  • El flujo final de inicio de sesión parecía lo bastante legítimo como para reducir la sospecha del usuario

Impacto para los administradores de TI

Los equipos de seguridad deben tomar esto como recordatorio de que la concienciación del usuario por sí sola no es suficiente. Las organizaciones necesitan defensas por capas en correo, identidad, endpoint y protección web.

Los administradores deberían revisar:

  • Configuraciones de Exchange Online Protection y Microsoft Defender for Office 365
  • Políticas anti-phishing y protecciones contra suplantación
  • Compatibilidad de SmartScreen en navegadores administrados
  • Network protection en Windows para bloquear destinos web maliciosos
  • Cobertura de detección y respuesta para actividad sospechosa de inicio de sesión y abuso de tokens

Próximos pasos recomendados

Los equipos de TI deberían llevar a cabo las siguientes acciones:

  1. Educar a los usuarios sobre señuelos de phishing relacionados con RR. HH., cumplimiento y regulación
  2. Ejecutar simulaciones de phishing con attack simulation training de Microsoft Defender for Office 365
  3. Reforzar la configuración de seguridad del correo y revisar las recomendaciones de directiva en el portal de seguridad de Microsoft
  4. Priorizar la autenticación resistente al phishing siempre que sea posible
  5. Buscar indicadores de compromiso e investigar comportamientos de sesión inusuales vinculados a eventos de inicio de sesión

Esta campaña refuerza una lección clave de seguridad: el phishing moderno ya no trata solo de contraseñas. Defenderse del robo de tokens requiere protecciones de identidad más sólidas, mejor seguridad del correo y formación continua para los usuarios.

¿Necesita ayuda con Security?

Nuestros expertos pueden ayudarle a implementar y optimizar sus soluciones Microsoft.

Hablar con un experto

Manténgase actualizado sobre tecnologías Microsoft

Leer el artículo original de Microsoft Defender Security Research Team and Microsoft Threat Intelligence
AiTM phishingMicrosoft 365 securitytoken theftMicrosoft Defender for Office 365phishing campaign

Artículos relacionados

Security

Campaña ClickFix en macOS distribuye infostealers

Microsoft ha identificado una nueva campaña de estilo ClickFix dirigida a usuarios de macOS mediante falsas instrucciones de solución de problemas y utilidades alojadas en blogs y plataformas de contenido. En lugar de descargar aplicaciones, se engaña a las víctimas para que ejecuten comandos en Terminal que eluden las comprobaciones típicas de apps en macOS y despliegan infostealers como Macsync, SHub Stealer y AMOS.

Security

CVE-2026-31431 en Linux: amenaza de root

Microsoft ha detallado CVE-2026-31431, una falla de escalada local de privilegios en Linux de alta gravedad que puede otorgar acceso root en las principales distribuciones y cargas de trabajo alojadas en la nube. El problema es importante porque afecta a entornos de kernel compartido, como contenedores y Kubernetes, lo que aumenta el riesgo de escape de contenedores, movimiento lateral y compromiso del host si los sistemas no se corrigen rápidamente.

Security

Microsoft Agent 365 GA: seguridad y control AI

Microsoft Agent 365 ya está disponible con carácter general para clientes comerciales, ofreciendo a los equipos de TI y seguridad un plano de control unificado para observar, gobernar y proteger agentes de AI en Microsoft 365, endpoints y entornos en la nube. Las nuevas capacidades en preview también amplían la visibilidad a shadow AI, agentes locales de Windows, plataformas de agentes multicloud y controles basados en directivas mediante Defender e Intune.

Security

Panorama de amenazas por email Q1 2026: claves

Microsoft informa que detectó 8,3 mil millones de correos de phishing en el Q1 2026, con más del doble de phishing mediante códigos QR y campañas con CAPTCHA en rápida evolución. Los hallazgos importan a los equipos de seguridad porque los atacantes están cambiando hacia el robo de credenciales basado en enlaces, mientras que las acciones contra Tycoon2FA demuestran que la respuesta coordinada puede reducir el impacto del phishing.

Security

Actualizaciones de Microsoft Security para Agent 365

Microsoft ha anunciado nuevas capacidades de seguridad en Agent 365, Defender for Cloud, GitHub Advanced Security y Microsoft Purview. Las actualizaciones se centran en mejorar la visibilidad de la actividad de los agentes de AI, reforzar la protección desde el código hasta el runtime y acelerar las investigaciones de seguridad de datos para los equipos de seguridad y TI.

Security

Revisiones de riesgo CISO: 8 prácticas de Microsoft

Microsoft ha publicado un marco práctico para que los CISO y los líderes de seguridad realicen revisiones de riesgo más eficaces en un contexto de ciberamenazas impulsadas por AI cada vez mayores. La guía se centra en ocho áreas de revisión, desde activos y aplicaciones hasta autenticación, autorización y aislamiento de red, para ayudar a las organizaciones a pasar de una respuesta reactiva a una reducción proactiva del riesgo.