Security

Microsoft alerta sobre phishing fiscal y robo de credenciales

3 min de lectura

Resumen

Microsoft advirtió sobre un aumento de campañas de phishing y malware con temática fiscal que aprovechan la temporada de impuestos para robar credenciales, usando señuelos como formularios W-2, avisos de reembolso y mensajes de contadores. La alerta importa porque estos ataques son cada vez más sofisticados —con códigos QR, cadenas de redirección, archivos en la nube y abuso de herramientas legítimas—, lo que dificulta su detección y eleva el riesgo para empresas y usuarios.

Resumen de audio

0:00--:--
¿Necesita ayuda con Security?Hablar con un experto

Introducción

La temporada de impuestos vuelve a demostrarse como un momento ideal para los ciberdelincuentes. Microsoft informa de un claro aumento en campañas de phishing y malware que explotan la urgencia de las declaraciones de impuestos, avisos de reembolso, formularios de nómina y comunicaciones de contadores para engañar a los usuarios y lograr que entreguen credenciales o ejecuten malware.

Para los equipos de TI y seguridad, esto importa porque estas campañas no son solo spam genérico. Muchas están altamente dirigidas, personalizadas y diseñadas para evadir las detecciones tradicionales mediante códigos QR, cadenas de enlaces de varios pasos, archivos alojados en la nube y el abuso de herramientas legítimas de remote monitoring and management (RMM).

Qué hay de nuevo

Microsoft destacó varios patrones de ataque con temática fiscal observados a principios de 2026:

  • Phishing con temática de CPA mediante Energy365
    Correos electrónicos con asuntos como "See Tax file" usaban archivos adjuntos de Excel que enlazaban a archivos de OneNote alojados en OneDrive, y finalmente redirigían a los usuarios a páginas de robo de credenciales impulsadas por el kit de phishing-as-a-service Energy365.

  • Phishing de W-2 con código QR mediante SneakyLog
    Mensajes titulados "2025 Employee Tax Docs" incluían documentos de Word que contenían códigos QR personalizados. Al escanear el código, los usuarios eran dirigidos a páginas falsas de inicio de sesión de Microsoft 365 operadas a través del kit de phishing SneakyLog/Kratos, diseñado para robar credenciales e información de 2FA.

  • Señuelos de 1099 que entregan ScreenConnect
    Dominios con temática de formularios fiscales suplantaban marcas financieras y tributarias, lo que llevaba a los usuarios a descargar 1099-FR2025.exe, que instalaba ScreenConnect. Aunque es legítimo, ScreenConnect puede ser utilizado indebidamente por atacantes como herramienta de acceso remoto.

  • Phishing con temática del IRS y criptomonedas
    Otra campaña utilizó mensajes falsos del IRS e ingeniería social relacionada con criptomonedas, incluidas URL para copiar y pegar en lugar de enlaces clicables para reducir la detección automatizada.

Por qué esto importa para los administradores

Estas campañas muestran cómo los atacantes están combinando:

  • un contexto empresarial estacional convincente
  • plataformas de phishing-as-a-service que escalan rápidamente
  • archivos adjuntos y páginas de destino personalizadas
  • técnicas de evasión de MFA
  • herramientas RMM legítimas y firmadas para persistencia y acceso hands-on-keyboard

Se observó que organizaciones de servicios financieros, salud, educación, manufactura, retail y TI fueron objetivos, con contadores y funciones cercanas a finanzas especialmente en riesgo.

Próximos pasos recomendados

Los administradores de TI deben tomar las siguientes medidas de inmediato:

  • Reforzar la concienciación de los usuarios sobre los correos electrónicos con temática fiscal, especialmente mensajes inesperados sobre W-2, 1099, CPA e IRS.
  • Bloquear o inspeccionar de cerca el phishing basado en códigos QR y las cadenas de adjuntos de múltiples etapas que involucren Excel, OneNote y enlaces de almacenamiento en la nube.
  • Revisar las políticas de seguridad del correo electrónico para protección contra suplantación, análisis de adjuntos y detonación de URL.
  • Investigar el abuso de herramientas RMM como ScreenConnect y SimpleHelp, especialmente cuando se instalan fuera de los canales aprobados.
  • Reforzar las protecciones de identidad con MFA resistente al phishing cuando sea posible y supervisar actividad sospechosa de inicio de sesión en Microsoft 365.
  • Usar la guía de detección y hunting de Microsoft Defender del aviso para identificar indicadores de compromiso relacionados.

Conclusión

La temporada de impuestos ofrece a los atacantes una ventana predecible para explotar la urgencia y la confianza. Los hallazgos más recientes de Microsoft recuerdan que las organizaciones deben tratar los mensajes relacionados con impuestos como una categoría de phishing de alto riesgo y validar tanto la actividad de identidad como las herramientas de acceso remoto en todo el entorno.

¿Necesita ayuda con Security?

Nuestros expertos pueden ayudarle a implementar y optimizar sus soluciones Microsoft.

Hablar con un experto

Manténgase actualizado sobre tecnologías Microsoft

Leer el artículo original de Microsoft Threat Intelligence and Microsoft Defender Security Research Team
SecurityphishingMicrosoft Defendertax seasonmalware

Artículos relacionados

Security

Compromiso de la cadena de suministro de Trivy

Microsoft ha publicado orientación de detección, investigación y mitigación sobre el compromiso de la cadena de suministro de Trivy de marzo de 2026, que afectó al binario de Trivy y a GitHub Actions relacionados. El incidente es importante porque convirtió una herramienta de seguridad de CI/CD de confianza en un arma para robar credenciales de pipelines de compilación, entornos en la nube y sistemas de desarrolladores mientras aparentaba ejecutarse con normalidad.

Security

Gobernanza de agentes de AI para alinear la intención

Microsoft describe un modelo de gobernanza para agentes de AI que alinea la intención del usuario, del desarrollador, basada en roles y organizacional. El marco ayuda a las empresas a mantener los agentes útiles, seguros y en cumplimiento al definir límites de comportamiento y un orden claro de prioridad cuando surgen conflictos.

Security

Microsoft Defender predictive shielding frena ransomware GPO

Microsoft detalló un caso real de ransomware en el que predictive shielding de Defender detectó el abuso malicioso de Group Policy Object antes de que comenzara el cifrado. Al reforzar la propagación de GPO e interrumpir cuentas comprometidas, Defender bloqueó alrededor del 97 % de la actividad de cifrado intentada y evitó que cualquier dispositivo fuera cifrado mediante la ruta de entrega por GPO.

Security

Seguridad para Agentic AI de Microsoft en RSAC 2026

En RSAC 2026, Microsoft presentó una estrategia integral para asegurar la adopción empresarial de Agentic AI, con el anuncio de la disponibilidad general de Agent 365 el 1 de mayo como plano de control para gobernar, proteger y supervisar agentes de AI a escala. La noticia importa porque refuerza la visibilidad y gestión del riesgo de AI en toda la empresa mediante herramientas como Security Dashboard for AI y Shadow AI Detection, ayudando a reducir la sobreexposición de datos, controlar accesos y responder a nuevas amenazas.

Security

Microsoft lanza CTI-REALM open source para detección AI

Microsoft ha presentado CTI-REALM, un benchmark open source que evalúa si los agentes de IA pueden crear y validar detecciones de seguridad de extremo a extremo a partir de informes reales de inteligencia de amenazas, en lugar de limitarse a responder preguntas teóricas. Esto importa porque ofrece a los equipos SOC una forma más práctica de medir el valor operativo de la IA en ingeniería de detección, incluyendo pasos clave como mapeo MITRE ATT&CK, consultas KQL y reglas Sigma en entornos Linux, AKS y Azure.

Security

Zero Trust for AI de Microsoft: taller y arquitectura

Microsoft presentó Zero Trust for AI (ZT4AI), una guía y arquitectura que adapta los principios de Zero Trust a entornos de IA para proteger modelos, agentes, datos y decisiones automatizadas frente a riesgos como prompt injection y data poisoning. Además, actualizó su Zero Trust Workshop con un nuevo pilar de IA y cientos de controles, lo que importa porque da a los equipos de seguridad y TI un marco práctico para evaluar riesgos, coordinar áreas de negocio y desplegar controles de seguridad de IA de forma más estructurada.