Investigadores de ciberseguridad detectaron que el grupo criminal conocido como KongTuke comenzó a utilizar Microsoft Teams como vector de ataque para comprometer redes corporativas y obtener acceso inicial a organizaciones. La información fue publicada por BleepingComputer.
Según el informe, los atacantes están aprovechando la enorme confianza que muchas empresas depositan en plataformas de colaboración corporativa. En lugar de depender únicamente de correos de phishing tradicionales, KongTuke ahora contacta directamente a empleados mediante mensajes dentro de Microsoft Teams, simulando conversaciones legítimas de soporte técnico o asistencia interna.
Los investigadores explican que esta metodología resulta especialmente peligrosa porque muchas organizaciones consideran Teams un entorno “seguro” por defecto. Los usuarios suelen bajar la guardia cuando reciben mensajes desde plataformas corporativas conocidas, especialmente si los atacantes logran aparentar pertenecer al área de TI o soporte técnico.
La campaña observada incluye ingeniería social cuidadosamente preparada. En algunos casos, los atacantes convencen a empleados para ejecutar herramientas de acceso remoto o aceptar conexiones externas que terminan otorgando control parcial sobre los sistemas comprometidos. Una vez dentro de la red, los operadores realizan movimiento lateral, robo de credenciales y despliegue de malware adicional.
El caso refleja un cambio importante en las tácticas modernas de intrusión. A medida que filtros antispam y soluciones de correo mejoran, los grupos criminales migran hacia plataformas de comunicación empresarial como Teams, Slack y aplicaciones de mensajería corporativa para evadir controles tradicionales de seguridad.
Especialistas advierten que el crecimiento del trabajo remoto y los entornos híbridos amplió enormemente la superficie de ataque disponible para este tipo de operaciones. Hoy las plataformas colaborativas contienen acceso directo a empleados, documentos internos, reuniones, calendarios y canales de comunicación sensibles.
La utilización de herramientas legítimas para ataques también dificulta enormemente la detección automática. Desde el punto de vista técnico, muchas de estas actividades parecen tráfico corporativo normal, lo que obliga a los equipos SOC a depender más del análisis de comportamiento y señales contextuales.
El incidente vuelve además a mostrar cómo la ingeniería social continúa siendo una de las armas más efectivas del cibercrimen moderno. Incluso organizaciones con infraestructura avanzada pueden quedar expuestas si un atacante logra manipular psicológicamente a un empleado con acceso interno.
Investigadores también señalan que grupos criminales y “ejércitos informáticos” estatales están combinando cada vez más automatización, inteligencia artificial y técnicas avanzadas de manipulación social para desarrollar campañas más creíbles y difíciles de detectar.
Para muchas empresas, el desafío ya no consiste solamente en proteger servidores y firewalls, sino también en asegurar los espacios digitales donde trabajan diariamente sus propios empleados.