Phishing en Teams y Slack: ataques en herramientas de chat empresarial

Phishing en Teams y Slack: ataques en herramientas de chat empresarial

Un mensaje de "Microsoft Teams" pidiéndote que reactives tu cuenta es phishing en Teams, no una notificación real. Los atacantes se mudaron. El correo sigue siendo el canal favorito, pero el phishing en Slack y el fraude en Microsoft Teams crecen porque nadie desconfía de un chat interno. Ahí está la trampa. Llevamos veinte años enseñando a la gente a sospechar de emails raros, mientras que un mensaje en el chat corporativo llega con presunción de inocencia. Un ataque en chat empresarial aprovecha exactamente eso. El malware en Slack no necesita saltarse tu filtro de correo si entra por un canal donde el propio Slack te dice quién escribe. Vamos a ver cómo funciona, qué señales delatan el engaño y qué hacer cuando ya has hecho clic.

Por qué el chat empresarial es el nuevo terreno de caza

Tres razones, y ninguna es técnica del todo.

La primera es la confianza por defecto. En el correo, un remitente desconocido activa alarmas. En Teams, ver el logo de tu empresa y un nombre con foto de perfil desactiva el escepticismo. La segunda es la velocidad. El chat es conversacional, se responde en segundos, y nadie reenvía un mensaje de Slack a IT para que lo revise. La tercera: los filtros de seguridad son más flojos. La mayoría de organizaciones invierten en protección de correo (SEG, DMARC, sandboxing de adjuntos) y dejan el chat con la configuración que trae de fábrica.

Añade un cuarto factor: el acceso federado externo. Microsoft Teams permite de forma predeterminada, en muchos tenants, que usuarios de otros tenants de Microsoft 365 te escriban directamente. Cualquiera que registre un tenant gratuito de Microsoft 365 puede aparecer en tu chat. Microsoft ha ido restringiendo el contacto desde cuentas no gestionadas o personales en los tenants más recientes, así que conviene comprobar tu configuración real en lugar de fiarte del supuesto. Slack tiene el equivalente en Slack Connect, que conecta canales entre organizaciones.

Los ataques que se están usando ahora mismo

Suplantación del soporte técnico (el clásico revisitado)

El grupo que Microsoft rastrea como Storm-1811 popularizó una técnica brutal en su simplicidad, documentada por Microsoft en 2024. Primero saturan el buzón de la víctima con miles de correos legítimos de suscripción, hasta que la bandeja es inservible. Luego, un supuesto técnico de IT contacta por Teams ofreciendo ayuda con "el problema de correo". La víctima, desesperada, acepta. El técnico pide abrir Quick Assist o Windows Remote Assistance, y a partir de ahí instala lo que quiera. Varias campañas de este tipo han terminado desplegando ransomware Black Basta.

Lo demoledor no es el malware. Es que la víctima colabora activamente.

Adjuntos y enlaces con dominio de confianza

Cuando un atacante comparte un archivo por Teams, la URL resultante vive en sharepoint.com o *.sharepoint.com. Un dominio con reputación intachable. Los filtros de URL lo dejan pasar sin pestañear, porque bloquear SharePoint entero no es una opción.

La operación de DarkGate documentada en 2023 usaba cuentas comprometidas de Teams para enviar adjuntos ZIP con extensión .lnk dentro. Un acceso directo con un icono de PDF. La víctima ve "Cambios_organizativos.pdf", hace doble clic, y ejecuta un script de PowerShell. Es la misma familia de loaders de malware que llevan años entrando por correo, solo que ahora el sobre es otro.

Apps y webhooks maliciosos

Aquí es donde Slack tiene su punto débil propio. Un webhook entrante de Slack es una URL que, si la conoces, te permite publicar mensajes en un canal. Sin autenticación adicional. Si esa URL se filtra en un repositorio público de GitHub —y se filtran constantemente—, cualquiera puede escribir en tu canal haciéndose pasar por una integración legítima.

Peor todavía: los atacantes usan Slack como canal de mando y control. El malware se comunica con su operador vía la API de Slack, tráfico HTTPS hacia un dominio corporativo que nadie va a bloquear. Se llama living off trusted sites. El mismo truco funciona con Discord, Telegram y Google Drive.

Secuestro de cuenta y movimiento lateral

El ataque más peligroso no viene de fuera. Viene del compañero de la oficina de al lado, cuya cuenta cayó en un phishing de credenciales hace tres semanas. Desde dentro, el atacante lee el historial de conversaciones, aprende el tono, y pide cosas que suenan normales: "oye, ¿me pasas el acceso al panel de facturación? tengo el mío bloqueado".

Ningún filtro detecta eso. Lo detecta una persona que verifica por otro canal.

Señales de alerta concretas

La bandera roja principal en Teams es explícita: el propio Microsoft muestra la etiqueta "Externo" junto al nombre de cualquier interlocutor fuera de tu organización. Si un supuesto "IT Helpdesk" lleva esa etiqueta, la conversación ha terminado.

Señal Qué significa
Etiqueta "Externo" en un contacto que debería ser interno Suplantación casi segura. IT nunca te escribe desde otro tenant.
Contacto no solicitado ofreciendo soporte técnico El soporte no adivina que tienes un problema. Tú lo abres.
Petición de instalar Quick Assist, AnyDesk o TeamViewer Toma de control remoto. Cuelga.
Adjunto .zip, .lnk, .iso, .img o .hta Formatos que sirven para ejecutar código, no para compartir documentos.
Urgencia + secretismo ("no lo comentes con nadie todavía") Ingeniería social de manual. Bloquea tu verificación.
Un compañero pide credenciales o código MFA Su cuenta está comprometida. Nunca es él.
Nombre de canal casi idéntico al real (#finanzas-interno vs #finanzas_interno) Typosquatting de canales en Slack Connect.

Una regla que funciona: si un mensaje te pide hacer algo, verifícalo por un canal distinto. Te escriben por Teams, llamas por teléfono. Te escriben por Slack, preguntas en persona. Cuesta treinta segundos y desmonta el ataque entero.

Qué hacer si ya has picado

Rapidez sobre elegancia. En este orden:

  1. Desconecta el equipo de la red. Cable fuera, WiFi apagado. Si instalaste una herramienta de control remoto, esto corta la sesión activa del atacante.
  2. No apagues el ordenador. Suena contraintuitivo, pero apagarlo destruye evidencia en memoria que el equipo de respuesta puede necesitar.
  3. Avisa a IT o al responsable de seguridad ya. Ahora, no cuando lo hayas investigado tú. El tiempo entre acceso inicial y cifrado en campañas de ransomware se mide en horas.
  4. Cambia la contraseña desde otro dispositivo limpio y revoca todas las sesiones activas. En Microsoft 365: Microsoft Entra ID (antes Azure AD) → Usuario → Revocar sesiones. En Slack: Configuración de cuenta → Cerrar todas las demás sesiones.
  5. Revisa los tokens OAuth y apps conectadas. Cambiar la contraseña no expulsa a una app maliciosa que ya tiene un token. Revísalos manualmente y revoca lo que no reconozcas.
  6. Comprueba si tu correo está en una filtración con Have I Been Pwned. Si el ataque llegó porque reutilizabas contraseña, esto te lo dirá. Y aprovecha para crear contraseñas decentes que puedas recordar.
  7. Analiza el archivo en VirusTotal si aún lo tienes. Sube el hash, no el archivo, si contiene datos sensibles.
  8. Avisa a tus contactos. Si tu cuenta escribió a otros, esos otros están en riesgo.

Si hay datos personales comprometidos, la AEPD exige notificación en 72 horas desde que se tiene conocimiento de la brecha (artículo 33 del RGPD). No es opcional. Y sí, un ciberseguro empresarial ayuda con los costes de respuesta, pero no te exime del plazo.

Cómo blindar Teams y Slack antes de que pase

Configuración, no formación. La formación ayuda; la configuración impide.

En Microsoft Teams, ve al centro de administración → Configuración de toda la organización → Acceso externo. Ahí puedes:

  • Desactivar el acceso externo por completo, o pasarlo a lista blanca de dominios permitidos. Esta única opción cierra la vía de entrada principal de Storm-1811.
  • Bloquear el acceso de invitados si no lo necesitas.
  • Activar Safe Attachments y Safe Links de Microsoft Defender for Office 365 para Teams. Depende del plan y no viene activado por defecto en todos ellos.
  • Restringir Quick Assist por política de grupo o desinstalarlo si tu soporte usa otra herramienta.

En Slack:

  • Aprobación de apps obligatoria (Settings → App Management → App Approval). Sin esto, cualquier empleado instala cualquier integración.
  • Auditar los webhooks entrantes existentes. Los que no reconozcas, fuera.
  • Limitar quién puede aceptar invitaciones de Slack Connect.
  • Activar SSO obligatorio con MFA y, en planes Enterprise Grid, revisar el Audit Logs API con regularidad.

Y algo transversal: MFA resistente a phishing. Las llaves de seguridad FIDO2 o passkeys no se pueden reenviar a un atacante, a diferencia de un código SMS o de una app. Si solo vas a hacer un cambio este trimestre, que sea este.

Conviene entender también qué pasa cuando el atacante ya tiene tu sesión abierta: técnicas como CSRF permiten ejecutar acciones en tu nombre sin robar credenciales. Y si tu empresa está montando integraciones internas o automatizaciones con inteligencia artificial aplicada a procesos de negocio, cada nuevo bot conectado al chat es una superficie de ataque más que auditar.

Preguntas frecuentes

¿Puede alguien de fuera de mi empresa escribirme por Microsoft Teams?

Sí. En muchos tenants está permitido por defecto: Microsoft Teams admite chat federado con otros tenants de Microsoft 365, así que basta con que alguien cree una cuenta para poder escribirte. Microsoft ha endurecido el trato a las cuentas no gestionadas en tenants recientes, pero el chat entre organizaciones sigue abierto salvo que lo restrinjas. Se desactiva desde el centro de administración de Teams, en Configuración de toda la organización → Acceso externo.

¿Cómo sé si un mensaje de Teams es de un usuario externo?

Teams muestra una etiqueta "Externo" junto al nombre del remitente en el chat y en la lista de conversaciones. Es la señal más fiable que tienes. Si un supuesto departamento de IT de tu propia empresa aparece marcado como externo, es un fraude.

¿Slack puede tener malware?

Slack en sí no distribuye malware, pero se usa de dos formas: como vía de entrega de archivos maliciosos entre usuarios, y como canal de mando y control para malware ya instalado, aprovechando que el tráfico hacia la API de Slack parece legítimo. Las apps y webhooks no auditados son el vector más habitual.

¿Qué hago si le he dado control remoto de mi ordenador a un falso soporte?

Desconecta el equipo de la red inmediatamente, pero no lo apagues, y avisa a IT en el momento. Desde otro dispositivo limpio, cambia tus contraseñas y revoca todas las sesiones activas. Asume que cualquier credencial guardada en ese equipo está comprometida.

¿El antivirus detecta el phishing en Teams o Slack?

Parcialmente. Un antivirus puede detectar el archivo malicioso si llega a ejecutarse, pero no detecta el engaño conversacional ni un enlace alojado en SharePoint, que tiene reputación legítima. La defensa real está en la configuración de la plataforma y en verificar peticiones por un canal alternativo.

¿Es obligatorio notificar a la AEPD si hay una brecha por phishing en el chat corporativo?

Si la brecha afecta a datos personales y supone un riesgo para los derechos de los afectados, sí: el artículo 33 del RGPD fija un plazo de 72 horas desde que se tiene conocimiento del incidente. La documentación interna del incidente es obligatoria aunque finalmente decidas no notificar.

El siguiente paso

Abre el centro de administración de Microsoft Teams ahora mismo y ve a Configuración de toda la organización → Acceso externo. Si está en "Permitir todos los dominios externos", cámbialo a lista blanca o desactívalo. Dos minutos, y acabas de cerrar la puerta por la que entra la mayoría del phishing en Teams. Si usas Slack, el equivalente es activar la aprobación obligatoria de apps.

phishing teams phishing slack chat empresarial ataque microsoft teams fraude slack malware

Artículos relacionados

← Volver al blog