Los ciberdelincuentes aprovechan nombres de equipos ofuscados en Microsoft Teams para evadir sistemas de seguridad, mientras hacen que los mensajes de phishing parezcan notificaciones legítimas de facturación.
La campaña ha afectado a 6.135 usuarios, con un promedio diario de 990 mensajes.
Check Point Research, la división de Inteligencia de Amenazas de Check Point® Software Technologies Ltd. (NASDAQ: CHKP), pionero y líder global en soluciones de ciberseguridad, ha detectado una campaña de phishing que está afectando a miles de usuarios de Microsoft Teams. Los ciberdelincuentes están utilizando la propia funcionalidad de la plataforma para distribuir contenido malicioso que aparenta provenir de servicios legítimos, engañando a las víctimas para que llamen a un número de soporte fraudulento.
La campaña es sorprendentemente sofisticada. Los ciberdelincuentes comienzan creando equipos en Microsoft Teams con nombres relacionados con finanzas, diseñados para parecer avisos urgentes de facturación o suscripciones. Los nombres incluyen técnicas de ofuscación, como sustituciones de caracteres y glifos (símbolos gráficos que representan ideas, sonidos o conceptos) visualmente similares, que permiten que el mensaje pase desapercibido para los sistemas de seguridad, pero siga siendo comprensible para los usuarios. Un ejemplo observado es:
"Subscription Auto-Pay Notice (I??voice ID: 2025_614632PPOT_SAG Amount 629. 98 USD). If you did not authorize or complete this m0nthly Payment, ple??se c0ntact ??our support team urgently" ("Aviso de Pago Automático de Suscripción (ID de factura: 2025_614632PPOT_SAG Monto 629,98 USD). Si no autorizó o realizó este pago mensual, por favor contacte urgentemente a nuestro equipo de soporte.").
Una vez creado el equipo, los ciberdelincuentes envían invitaciones a través de la función Invitar a un invitado de Microsoft Teams. Los destinatarios reciben un correo desde una dirección legítima de Microsoft, con el nombre del equipo destacado de manera que parece totalmente genuino. A primera vista, el mensaje podría confundirse con una notificación real de la compañía, lo que aumenta la probabilidad de que los usuarios confíen en el contenido y sigan las instrucciones.
Lo llamativo de esta campaña es que no depende de enlaces maliciosos ni de remitentes falsificados. En lugar de ello, recurre a la ingeniería social por teléfono, instando a las víctimas a llamar a un número de soporte fraudulento para resolver el supuesto problema de facturación.
Ejemplos de correo electrónico:
Industrias afectadas
El alcance de la campaña es considerable: se han enviado 12.866 correos electrónicos, lo que ha afectado a 6.135 usuarios, con un promedio diario de 990 mensajes. El análisis sectorial muestra que la campaña ha impactado a empresas de distintos ámbitos, principalmente manufactura, ingeniería y construcción (27,4%), seguido de tecnología y educación (18,6%), aunque también se han registrado casos en servicios profesionales (11.2%), Gobierno (8.1%) y finanzas (7.3%). Esto sugiere que el objetivo principal de los ciberdelincuentes no es un sector concreto, sino aprovechar la amplia adopción de Microsoft Teams como plataforma de colaboración confiable.
Geográficamente, Estados Unidos concentra la mayoría de los incidentes, con un 67,9% de las empresas afectadas. Europa representa un 15,8% y Asia un 6,4%, mientras que Australia, Nueva Zelanda (ambas con un 3.9%) y Canadá (3.1%) registran una menor incidencia. En LATAM, donde tienen lugar el 2,4% de los incidentes, Brasil (44%), México (31%) y Argentina (11%) son los países más impactados, por encima de Colombia (8%), Chile (4%) y Perú (2%).
Check Point Research advierte de que este tipo de ataques demuestra cómo los delincuentes pueden aprovechar flujos de invitación confiables y plataformas ampliamente utilizadas para propagar phishing sin necesidad de enlaces maliciosos ni correos falsificados. Los usuarios deben extremar la precaución ante invitaciones inesperadas en Microsoft Teams, especialmente cuando los nombres de los equipos parecen notificaciones importantes de facturación, incluyen números de teléfono o tienen un formato inusual.
Para proteger a las empresas frente a este tipo de amenazas, Check Point Software recomienda contar con soluciones de defensa avanzadas y en capas, como Check Point Harmony Email & Collaboration, que permiten detectar y bloquear ataques de phishing incluso cuando se ocultan a plena vista. La campaña confirma, una vez más, que la confianza en plataformas digitales ampliamente adoptadas puede utilizarse en contra de los usuarios si no se aplican los controles de seguridad adecuados.
"Los atacantes están utilizando funciones legítimas de Microsoft Teams y nombres de equipos ofuscados para evadir la seguridad y engañar a los usuarios con notificaciones de facturación falsas. Esto demuestra que la ingeniería social combinada con plataformas confiables puede ser muy efectiva. Es clave contar con protección avanzada en capas y educar a los usuarios para detectar invitaciones sospechosas", señala Rafael López, ingeniero de seguridad especializado en protección de correo electrónico en Check Point Software.
