Meta News

Microsoft Details Phishing Campaign Targeting 35,000 Users Across 26 Countries

Resumen: Microsoft ha revelado detalles sobre una campaña de phishing que afectó a más de 35,000 usuarios en 26 países, utilizando lisonjeras temáticas y servicios de correo electrónico legítimos para robar credenciales.

Microsoft revela una sofisticada campaña de phishing que abusó de infraestructura legítima para comprometer cuentas corporativas

Microsoft publicó detalles sobre una nueva campaña de phishing altamente sofisticada que logró comprometer cuentas corporativas utilizando una combinación de ingeniería social, infraestructura legítima y técnicas avanzadas de evasión diseñadas específicamente para burlar defensas modernas de seguridad. El caso refleja cómo el phishing evolucionó mucho más allá de los clásicos correos mal escritos con enlaces sospechosos: las campañas actuales operan prácticamente como operaciones profesionales de ciberinteligencia.

Según el análisis publicado por Microsoft y reportado por The Hacker News, los atacantes utilizaron servicios legítimos y páginas cuidadosamente diseñadas para engañar a usuarios corporativos y robar credenciales de autenticación. (thehackernews.com)

Lo más preocupante del incidente es que la campaña no dependía únicamente de técnicas tradicionales de robo de contraseñas. Los atacantes también buscaron interceptar sesiones autenticadas y mecanismos de autenticación multifactor, una tendencia que se está volviendo cada vez más común entre grupos avanzados de phishing.

Durante años, muchas organizaciones asumieron que implementar MFA resolvería gran parte del problema del robo de credenciales. Y aunque la autenticación multifactor sigue siendo una de las defensas más importantes disponibles, los atacantes comenzaron a desarrollar métodos cada vez más sofisticados para rodearla.

La campaña analizada por Microsoft demuestra precisamente esa evolución.

Los atacantes utilizaron páginas falsas extremadamente convincentes que imitaban servicios reales de autenticación corporativa. Cuando la víctima ingresaba sus credenciales, el sistema actuaba como intermediario en tiempo real entre el usuario y el servicio legítimo. Esto permitía capturar no solamente usuario y contraseña, sino también tokens de sesión y códigos MFA válidos.

En esencia, el atacante se posicionaba “en el medio” del proceso de autenticación.

Este tipo de técnica, conocida como adversary-in-the-middle (AiTM), representa una de las amenazas más serias contra sistemas modernos de login corporativo. A diferencia del phishing clásico, donde el objetivo principal es robar credenciales para utilizarlas posteriormente, los ataques AiTM operan en tiempo real y pueden secuestrar sesiones completas ya autenticadas.

Eso cambia completamente el panorama defensivo.

Incluso usuarios con MFA habilitado pueden resultar comprometidos si son engañados para autenticarse a través de infraestructura controlada por los atacantes. Una vez obtenida la cookie o token de sesión, el atacante puede acceder directamente a servicios corporativos sin necesidad de volver a solicitar autenticación multifactor.

Microsoft explicó que la campaña utilizó infraestructura cuidadosamente preparada para parecer legítima y evitar sospechas. Los atacantes aprovecharon servicios reales, certificados válidos y páginas visualmente muy similares a portales auténticos de login corporativo.

Ese detalle es importante porque muestra cuánto evolucionó el phishing moderno. Los primeros ataques dependían principalmente de errores ortográficos, diseños pobres y dominios obviamente fraudulentos. Hoy muchas campañas utilizan infraestructura técnicamente impecable. En algunos casos, incluso usuarios técnicamente experimentados tienen dificultades para detectar la diferencia.

Además, los atacantes entienden cada vez mejor la psicología corporativa moderna.

Gran parte del trabajo actual ocurre mediante plataformas cloud, servicios SaaS y autenticación remota constante. Los empleados reciben continuamente notificaciones, solicitudes de login y validaciones MFA durante toda la jornada laboral. Esa saturación reduce capacidad crítica y facilita que solicitudes fraudulentas parezcan normales.

La fatiga MFA se convirtió en un problema real.

Algunos grupos criminales incluso bombardean usuarios con solicitudes continuas de autenticación esperando que eventualmente aprueben una por error o cansancio. Otros utilizan ingeniería social directa, llamando a empleados mientras intentan autenticarse para convencerlos de aceptar solicitudes legítimas aparentemente “técnicas”.

La campaña detallada por Microsoft parece formar parte de un ecosistema mucho más profesionalizado de phishing-as-a-service. Hoy existen kits completos vendidos en foros criminales que permiten desplegar páginas AiTM sofisticadas casi automáticamente. Herramientas como Evilginx y plataformas similares redujeron enormemente la barrera técnica necesaria para ejecutar ataques avanzados.

Eso significa que técnicas antes reservadas para grupos altamente especializados ahora están comenzando a difundirse ampliamente dentro del cibercrimen.

El problema se agrava debido a la enorme dependencia empresarial de identidad digital centralizada. Servicios como Microsoft 365, Google Workspace y plataformas cloud corporativas concentran acceso a correos, documentos, reuniones, almacenamiento, autenticación y sistemas internos críticos.

Comprometer una única cuenta corporativa puede abrir la puerta a una cantidad enorme de información sensible.

Los atacantes lo saben perfectamente. Por eso las campañas modernas suelen enfocarse específicamente en:

  • ejecutivos;
  • departamentos financieros;
  • administradores IT;
  • personal con acceso privilegiado;
  • empleados de recursos humanos;
  • usuarios vinculados a pagos y contratos.

Una vez dentro, los grupos pueden robar información, moverse lateralmente, desplegar ransomware o utilizar la cuenta comprometida para expandir ataques internos.

Microsoft también destacó que los atacantes están utilizando infraestructura distribuida y rotación rápida de dominios para dificultar bloqueos tradicionales. Muchas campañas modernas permanecen activas durante períodos cortos antes de migrar automáticamente hacia nuevos dominios o servicios comprometidos.

Ese dinamismo complica enormemente el trabajo defensivo.

Los sistemas clásicos basados únicamente en listas negras de URLs o dominios ya no resultan suficientes. Para cuando una infraestructura maliciosa es detectada y bloqueada, los atacantes muchas veces ya migraron hacia otra.

El caso también evidencia un problema estructural más profundo dentro de seguridad moderna: la identidad se convirtió en el nuevo perímetro.

Durante décadas, gran parte de la ciberseguridad empresarial se enfocó en proteger redes internas. Firewalls, segmentación y control de acceso físico funcionaban relativamente bien en entornos corporativos tradicionales. Pero el auge del cloud computing y trabajo remoto cambió radicalmente ese modelo.

Hoy los empleados acceden desde cualquier lugar, utilizando múltiples dispositivos y servicios distribuidos globalmente. En ese contexto, controlar identidad y autenticación pasó a ser mucho más importante que simplemente proteger una red física.

Eso explica por qué las campañas de phishing modernas son tan agresivas y sofisticadas. Robar credenciales ya no significa solamente acceder a correo electrónico. Puede implicar control completo sobre infraestructura corporativa crítica.

Microsoft recomienda reforzar múltiples capas defensivas, incluyendo:

  • autenticación resistente a phishing;
  • llaves físicas FIDO2;
  • políticas de acceso condicional;
  • monitoreo de comportamiento anómalo;
  • entrenamiento continuo de usuarios;
  • protección de sesiones;
  • detección basada en riesgo.

Sin embargo, incluso las mejores tecnologías enfrentan limitaciones cuando el factor humano entra en juego. Los ataques actuales están diseñados precisamente para explotar confianza, hábitos y fatiga cognitiva dentro de entornos laborales hiperconectados.

También existe un componente económico enorme detrás de esta evolución. El phishing continúa siendo uno de los vectores de ataque más rentables del cibercrimen. No requiere explotar vulnerabilidades complejas ni desarrollar malware sofisticado. Muchas veces basta con convencer a una sola persona para obtener acceso a sistemas multimillonarios.

Y cuanto más valiosas se vuelven las identidades digitales, más sofisticados se vuelven los ataques dirigidos contra ellas.

La campaña revelada por Microsoft deja algo muy claro: el phishing moderno ya no se parece al phishing de hace diez años. Ahora utiliza infraestructura legítima, técnicas avanzadas de proxying, evasión en tiempo real y operaciones cuidadosamente diseñadas para integrarse dentro del comportamiento normal de trabajo corporativo.

La vieja idea de que un usuario atento siempre podrá detectar fácilmente un correo fraudulento está empezando a quedarse obsoleta.

En la nueva etapa del phishing, incluso usuarios experimentados pueden convertirse en víctimas si las defensas organizacionales dependen únicamente de percepción humana y no de arquitecturas diseñadas específicamente para resistir robo de sesiones y ataques adversary-in-the-middle.

Y mientras identidad digital siga siendo la llave maestra de la economía moderna, las campañas de phishing continuarán evolucionando hacia formas cada vez más difíciles de distinguir de la realidad.

Datos clave

  • La campaña afectó a más de 35,000 usuarios en 26 países.
  • El 92% de las víctimas se encuentran en Estados Unidos.
  • Los sectores sanitarios y de ciencias de la vida, servicios financieros, profesionales y tecnológicos son los más afectados.
  • Los emails utilizaban trampas relacionadas con el código de conducta y lisonjeras temáticas.
  • El ataque incorporó CAPTCHA y páginas intermedias para pasar desapercibidas ante defensas automatizadas.
  • Microsoft reporta un aumento significativo en el phishing basado en códigos QR.

¿Por qué importa?

Esta campaña afecta a organizaciones sensibles y representa una amenaza significativa para la confidencialidad y seguridad de los sistemas corporativos, especialmente al utilizar técnicas sofisticadas para evitar las defensas automatizadas. El aumento en el phishing basado en códigos QR puede comprometer aún más la seguridad de las empresas.

Métricas clave

  • Usuarios afectados: >35,000
  • Países afectados: >26
  • Víctimas en EE. UU.: >92% %
  • Ataques basados en códigos QR: 146% de aumento % (Durante el período de enero a marzo de 2026.)
X profile@thehackersnewshttps://twitter.com/thehackersnews
Contenido embebido de: Microsoft Details Phishing Campaign Targeting 35,000 Users Across 26 Countries
Etiquetas:
cybersecurity phishing microsoft email security

Detalles estructurados

  • Industria: cybersecurity
  • Tipo de fuente: media
  • Estado de la afirmación: confirmed
  • Verificación: claimed_by_source

Fuente: https://thehackernews.com/2026/05/microsoft-details-phishing-campaign.html

Publicado el