Login Probar gratis
Phishing de Microsoft 365: los ataques más sofisticados contra empresas

Phishing de Microsoft 365: los ataques más sofisticados contra empresas

por MataSpam Phishing y Estafas

Los ataques de phishing Microsoft 365 representan la amenaza más persistente contra empresas de cualquier tamaño. Cada día, millones de correos que imitan a la perfección las notificaciones de Outlook, Teams o SharePoint aterrizan en bandejas de entrada corporativas. La estafa Microsoft ha evolucionado tanto que ya no basta con buscar faltas de ortografía: los atacantes clonan dominios, replican flujos de autenticación y explotan la confianza que las organizaciones depositan en el ecosistema Microsoft. Un correo falso Outlook bien construido puede comprometer credenciales de acceso, datos financieros y toda la infraestructura cloud de una empresa en cuestión de minutos. La suplantación Microsoft se ha convertido en una industria, y entender cómo opera es la primera línea de defensa.

Anatomía de un ataque de phishing Office 365 moderno

Olvídate del príncipe nigeriano. Los ataques de phishing Office 365 actuales funcionan como operaciones profesionales con equipos dedicados, infraestructura propia y kits de phishing-as-a-service que se venden en foros underground por menos de 200 dólares.

El esquema típico sigue estas fases:

  1. Reconocimiento: El atacante identifica empleados objetivo mediante LinkedIn, registros WHOIS o datos filtrados. Busca cargos con acceso a finanzas o administración de sistemas.
  2. Preparación del señuelo: Registra dominios similares al corporativo (typosquatting) y configura páginas de login idénticas al portal de Microsoft 365. Plataformas como EvilProxy o Evilginx2 automatizan este proceso.
  3. Entrega: Envía el correo desde una cuenta legítima previamente comprometida, lo que permite saltarse filtros SPF y DKIM. El mensaje suele simular una notificación de SharePoint, un documento compartido en OneDrive o una alerta de seguridad.
  4. Captura de credenciales y tokens: La víctima introduce sus credenciales en la página falsa. Los kits modernos capturan también el token de sesión MFA mediante técnicas de adversary-in-the-middle (AiTM), anulando la autenticación multifactor.
  5. Movimiento lateral: Con acceso a la cuenta, el atacante configura reglas de reenvío de correo, accede a SharePoint, descarga documentos sensibles y lanza ataques internos contra otros empleados.

Según el Microsoft Digital Defense Report 2024, la plataforma bloquea más de 100.000 millones de intentos de phishing al año. Los que se cuelan son, precisamente, los más sofisticados.

Las técnicas de suplantación Microsoft que funcionan (demasiado bien)

Los atacantes no se limitan a copiar un logo. Estas son las técnicas que están causando más daño en entornos empresariales:

Ataques AiTM (Adversary-in-the-Middle)

Herramientas como Evilginx2 actúan como proxy inverso entre la víctima y el servidor real de Microsoft. El usuario ve la página auténtica de login.microsoftonline.com, introduce sus credenciales, completa el MFA... y el atacante captura el token de sesión. Es como si alguien se sentara entre tú y el banco y copiara todo lo que firmas. Esta técnica inutiliza la mayoría de implementaciones de MFA basadas en SMS o app de autenticación.

Abuso de servicios legítimos de Microsoft

Una tendencia creciente: los atacantes usan la propia infraestructura de Microsoft para sus campañas. Crean tenants gratuitos de Azure AD, envían invitaciones legítimas de SharePoint o Teams con enlaces a documentos que redirigen a páginas de phishing. Como el correo sale de servidores Microsoft reales (con SPF, DKIM y DMARC válidos), los filtros no lo detienen. Si tu empresa ya ha sufrido un ataque con macros en documentos Office, sabes que los atacantes adoran aprovechar las herramientas que ya usamos a diario.

Phishing con QR (Quishing)

Los correos incluyen un código QR que la víctima escanea con el móvil, donde los controles de seguridad corporativos suelen ser más laxos. El QR redirige a una página de phishing microsoft optimizada para móvil. Al no haber una URL visible que inspeccionar, la tasa de éxito es preocupantemente alta.

Consent phishing (OAuth abuse)

En lugar de robar contraseñas, el atacante crea una aplicación OAuth maliciosa y solicita permisos de acceso a la cuenta de la víctima. El usuario ve un diálogo legítimo de Microsoft pidiendo autorización. Al concederla, la app obtiene acceso persistente al correo, contactos y archivos sin necesidad de credenciales.

Señales de alerta: cómo identificar un correo falso Outlook

Detectar un correo falso Outlook requiere atención a detalles que los atacantes no siempre controlan. Esta tabla resume las señales más fiables:

SeñalQué buscarNivel de riesgo
Dominio del remitenteVariaciones como micros0ft.com, microsoft-support.net, login-microsoftonline.comAlto
URL de destinoPasa el ratón sobre los enlaces sin clicar. ¿Apunta a login.microsoftonline.com o a otro dominio?Alto
Urgencia artificial"Tu cuenta será suspendida en 24 horas", "Acción inmediata requerida"Medio-Alto
Solicitud de credencialesMicrosoft nunca pide contraseñas por correoAlto
Archivos adjuntos inesperados.html, .htm (páginas de phishing offline), .pdf con enlacesMedio
Headers del correoRevisa Return-Path y X-Originating-IP. ¿Coinciden con Microsoft?Técnico

Un truco útil: accede siempre a Microsoft 365 escribiendo la URL directamente en el navegador o usando un marcador. Nunca desde un enlace en un correo, por legítimo que parezca.

Qué hacer si has picado (protocolo de respuesta)

Has clicado. Has metido tu contraseña. El pánico se apodera de ti. Respira. Tienes una ventana de minutos para limitar el daño. Sigue este orden:

  1. Cambia la contraseña inmediatamente desde el portal real de Microsoft 365 (portal.office.com). Si no puedes acceder, contacta con tu administrador de TI.
  2. Revoca las sesiones activas desde Azure AD > Usuarios > Revocar sesiones. Esto invalida los tokens robados.
  3. Revisa las reglas de reenvío de correo en Outlook (Configuración > Correo > Reenvío). Los atacantes configuran reglas para recibir copia de todo tu correo.
  4. Comprueba las aplicaciones OAuth autorizadas en myapps.microsoft.com. Elimina cualquier app que no reconozcas.
  5. Activa MFA resistente a phishing si no la tenías: claves FIDO2 o Windows Hello for Business. El MFA por SMS ya no es suficiente para ataques AiTM.
  6. Notifica al equipo de seguridad y reporta el correo usando el botón de Report en Outlook o reenviándolo a phish@office365.microsoft.com.

Si gestionas la seguridad de tu empresa, tener un plan de respuesta a incidentes documentado marca la diferencia entre contener el ataque en minutos o descubrirlo semanas después.

Protección empresarial: configuración defensiva de Microsoft 365

La configuración por defecto de Microsoft 365 no es suficiente. Estas son las medidas que reducen drásticamente la superficie de ataque por estafa Microsoft:

  • MFA resistente a phishing: Despliega claves FIDO2 (YubiKey, Google Titan) o certificate-based authentication. Las passkeys de Microsoft Authenticator también ofrecen protección contra AiTM.
  • Conditional Access Policies: Restringe el acceso por ubicación, dispositivo y nivel de riesgo. Bloquea el acceso desde países donde no operas.
  • Safe Links y Safe Attachments (Defender for Office 365): Analiza URLs y adjuntos en tiempo real, incluso después de la entrega del correo.
  • Desactiva el legacy authentication: Protocolos como POP3, IMAP y SMTP básico no soportan MFA. Son una puerta trasera enorme.
  • Configura alertas de Azure AD Identity Protection: Detecta inicios de sesión imposibles, IPs anónimas y comportamiento anómalo.
  • DMARC en modo reject: Publica registros DMARC con p=reject para que nadie pueda suplantar tu dominio de correo.

Si tu empresa usa dispositivos IoT o sistemas de smart office conectados a la red corporativa, la superficie de ataque se amplía. Revisa las implicaciones de seguridad en dispositivos conectados antes de integrarlos en tu entorno Microsoft 365.

Casos reales: campañas de phishing Microsoft 365 documentadas

Estos no son escenarios teóricos. Son campañas investigadas y documentadas:

Storm-1167 (2023): Microsoft Threat Intelligence documentó esta campaña AiTM dirigida a organizaciones financieras. Los atacantes usaban páginas proxy que capturaban tokens de sesión post-MFA y, una vez dentro, creaban reglas de bandeja de entrada para interceptar comunicaciones sobre transferencias bancarias.

Campaña de consent phishing contra ONGs (2024): Grupos de amenazas registraron aplicaciones OAuth con nombres como "Microsoft Security Update" y solicitaron permisos de lectura de correo a empleados de organizaciones sin ánimo de lucro. Al no requerir contraseña —solo un clic en "Aceptar"— la tasa de éxito fue alarmante.

Business Email Compromise vía Teams: Atacantes que ya tenían acceso a una cuenta comprometida enviaban mensajes por Teams con enlaces a "documentos urgentes" alojados en SharePoint. Al venir de un contacto interno y por un canal no habitual para phishing, los empleados bajaban la guardia. Esta técnica recuerda a cómo las amenazas persistentes avanzadas (APT) operan dentro de la red una vez consiguen el acceso inicial.

Preguntas frecuentes

¿Puede el MFA protegerme contra el phishing de Microsoft 365?

Depende del tipo de MFA. Los códigos por SMS o app de autenticación pueden ser interceptados mediante ataques AiTM. Solo el MFA resistente a phishing (claves FIDO2, passkeys o certificate-based auth) ofrece protección real contra estas técnicas. Si usas MFA por SMS, estás mejor que sin nada, pero no eres inmune.

¿Cómo sé si un correo de Microsoft es legítimo?

Microsoft envía notificaciones desde dominios como @accountprotection.microsoft.com o @microsoft.com, pero estos pueden ser suplantados. La regla de oro: nunca hagas clic en enlaces de correos que pidan credenciales. Accede directamente a portal.office.com desde tu navegador. Si hay un problema real con tu cuenta, lo verás allí.

¿Qué hago si mi empresa ha sufrido un ataque de phishing masivo?

Activa tu plan de respuesta a incidentes. Revoca todas las sesiones activas desde Azure AD, fuerza un cambio de contraseña global, revisa los registros de auditoría de Microsoft 365 (Unified Audit Log) para identificar cuentas comprometidas y desactiva las reglas de reenvío sospechosas. Contacta con el INCIBE-CERT (017) si necesitas asistencia.

¿Los filtros antispam de Microsoft 365 no deberían detener estos correos?

Exchange Online Protection (EOP) bloquea la mayoría del phishing genérico, pero las campañas dirigidas usan técnicas diseñadas para evadir estos filtros: cuentas legítimas comprometidas, dominios recién registrados, contenido ofuscado o alojado en servicios de Microsoft. Defender for Office 365 (Plan 2) añade capacidades de detección avanzada, pero ningún filtro es infalible.

¿Puedo comprobar si mis credenciales de Microsoft 365 están filtradas?

Sí. Usa Have I Been Pwned (haveibeenpwned.com) para verificar si tu email corporativo aparece en filtraciones conocidas. Microsoft también ofrece la función "Password spray detection" en Azure AD Identity Protection para detectar ataques de fuerza bruta contra tu tenant.

El siguiente paso

Abre ahora mismo la consola de administración de Azure AD de tu organización, ve a Seguridad > Métodos de autenticación y comprueba si las claves FIDO2 están habilitadas como método de MFA. Si solo ves SMS y Microsoft Authenticator como opciones, tu empresa es vulnerable a ataques AiTM. Activar MFA resistente a phishing lleva menos de una hora y cierra la puerta al vector de ataque más efectivo que existe contra Microsoft 365. Si no eres administrador, reenvía este artículo a quien lo sea. A veces el mejor antiphishing es un compañero bien informado.

phishing microsoft phishing office 365 estafa microsoft correo falso outlook suplantación microsoft
MataSpam

Somos un equipo obsesionado con la ciberseguridad. Creamos guías prácticas para que no te la cuelen online. Sin edulcorantes, con mala leche y buen corazón.

Artículos relacionados

Cómo denunciar phishing en España: paso a paso ante la policía y tu banco
Phishing y Estafas

Cómo denunciar phishing en España: paso a paso ante la policía y tu banco

Estafas románticas por email: cuando el amor online es un fraude
Phishing y Estafas

Estafas románticas por email: cuando el amor online es un fraude

Las estafas de WhatsApp más comunes en 2026 y cómo evitarlas
Phishing y Estafas

Las estafas de WhatsApp más comunes en 2026 y cómo evitarlas

← Volver al blog