El phishing vuelve a dispararse: Microsoft lanza una alerta por una campaña a gran escala

Microsoft ha encendido las alarmas tras detectar una campaña masiva de robo de credenciales que destaca no por su agresividad técnica bruta, sino por una ingeniería social extremadamente pulida. Bajo la apariencia de aburridos procesos burocráticos y revisiones de «Códigos de Conducta», los atacantes han logrado infiltrarse en las defensas de miles de organizaciones globales.

Como señaló recientemente Satya Nadella en una conferencia sobre seguridad e IA: «La confianza es el activo más frágil en la era digital; una vez que un atacante logra mimetizarse con el lenguaje institucional de una empresa, las defensas técnicas pierden gran parte de su efectividad». Esta premisa se cumple a rajatabla en esta última ofensiva, donde el diseño visual y el tono administrativo son las principales herramientas de intrusión.


-El cebo del «Código de Conducta»

A diferencia de los correos electrónicos de phishing tradicionales, plagados de errores ortográficos o diseños descuidados, esta campaña utiliza plantillas HTML de estilo empresarial con una estructura impecable. Los mensajes se presentan bajo títulos que evitan levantar sospechas, como «Registro de caso interno de incumplimiento» o «Informe de Conducta del Equipo». El objetivo es claro: apelar a la responsabilidad y, en última instancia, al miedo del empleado ante una posible falta administrativa.

Desde el equipo de investigación de seguridad de Microsoft Defender y Microsoft Threat Intelligence explican que los señuelos incluyen declaraciones de autenticidad preventivas que aumentan su verosimilitud como comunicaciones internas oficiales. Los correos contienen avisos que aseguran que el contenido ha sido «revisado y aprobado para un acceso seguro» a través de canales internos autorizados. Esta capa de falsa seguridad psicológica es la que empuja al usuario a bajar la guardia y proceder con la interacción maliciosa.


-Del PDF legítimo al bypass del doble factor (MFA)

La ejecución técnica del ataque es un proceso multietapa diseñado para evadir los escaneos automáticos de seguridad. Los atacantes utilizan servicios de correo legítimos para enviar los mensajes, los cuales incluyen un archivo PDF adjunto. Este documento no contiene código malicioso per se, lo que le permite superar los filtros iniciales, pero actúa como un puente que incita a la víctima a hacer clic en un enlace externo para «completar la revisión».

Una vez que el usuario hace clic, es dirigido a través de varias páginas intermedias con desafíos CAPTCHA, una táctica que busca dar una apariencia de legitimidad al proceso y frustrar el análisis de bots de seguridad. El punto crítico ocurre al final de esta cadena: el uso de técnicas de phishing de intermediario (AiTM). En este escenario, el atacante actúa como un espejo en tiempo real entre el usuario y la página real de Microsoft, logrando capturar no solo la contraseña, sino también los tokens de sesión. Esto permite a los delincuentes eludir por completo la autenticación multifactor (MFA), obteniendo acceso total a la cuenta sin que el sistema detecte una anomalía inmediata.


-El auge imparable del Quishing y el fraude BEC

Esta campaña no es un hecho aislado, sino la punta de lanza de una tendencia alcista documentada por Microsoft entre enero y marzo de 2026. Durante este periodo, se detectaron aproximadamente 8300 millones de amenazas de phishing por correo electrónico. Lo más preocupante es la evolución de los vectores de ataque: el Quishing (phishing mediante códigos QR) se ha consolidado como el método de mayor crecimiento, con un incremento del 146%, pasando de 7,6 millones de ataques en enero a 18,7 millones en marzo.

Por otro lado, las estafas de compromiso de correo electrónico empresarial (BEC) han mostrado una preocupante resiliencia, superando los 4 millones de incidentes solo en el mes de marzo. Según informes de la Unidad 42 de Palo Alto Networks, los ciberdelincuentes están abusando de los códigos QR como acortadores de URL para ocultar destinos maliciosos y eludir las pasarelas de seguridad que normalmente inspeccionan los enlaces de texto. El enfoque principal sigue siendo la obtención de credenciales, que representa casi el 80% de los ataques, mientras que la distribución de malware convencional se ha reducido a niveles mínimos.


Sectores bajo asedio y recomendaciones críticas

La distribución geográfica y sectorial de esta campaña revela un enfoque quirúrgico. Aunque se han visto afectadas más de 13.000 organizaciones en 26 países, el 92% de los objetivos se concentran en los Estados Unidos, con una incidencia particular en los sectores de salud (19%), finanzas (18%) y tecnología (11%). Estos ámbitos son especialmente lucrativos debido al valor de los datos sensibles que manejan y la urgencia crítica de sus operaciones.

La recomendación para los departamentos de IT es clara: no basta con confiar en el MFA tradicional si este se basa en tokens que pueden ser interceptados. Es imperativo avanzar hacia métodos de autenticación resistentes al phishing, como las llaves de seguridad físicas o sistemas basados en biometría. Además, se insta a los usuarios a desconfiar de cualquier comunicación que solicite acciones inmediatas bajo presión, especialmente si involucran el escaneo de códigos QR o la descarga de documentos PDF para acceder a portales de inicio de sesión externos.