«Te llaman al despacho»: hackers idean un método ingenioso para robar cuentas y las víctimas entregan sus contraseñas»
Ningún curso de ciberseguridad enseña qué hacer cuando un correo parece un regaño real del jefe.
Los estafadores idearon una nueva forma de robar cuentas corporativas, enmascarando los ataques como investigaciones internas por incumplimiento en el trabajo. Los usuarios recibían correos con acusaciones de no respetar las normas corporativas, y toda la cadena parecía tan verosímil que las víctimas entregaban a los atacantes el acceso a sus cuentas de Microsoft.
Los especialistas de Microsoft informaron que la campaña se desarrolló del 14 al 16 de abril de 2026 y afectó a más de 35 000 personas de 13 000 organizaciones en 26 países. Cerca del 92 % de los objetivos estaban en Estados Unidos. Se vieron afectadas empresas de los sectores de salud, finanzas, tecnología y servicios profesionales.
Los correos llegaban con remitentes como «Internal Regulatory COC», «Workforce Communications» y «Team Conduct Report». En el asunto se indicaba supuestamente un expediente disciplinario abierto o una infracción de las normas internas. Los mensajes parecían correspondencia oficial del departamento de recursos humanos o del área de cumplimiento.
Los autores de la campaña cuidaron con detalle la presentación. En los correos se decía que el mensaje se había enviado a través de un «canal interno autorizado», y que los enlaces y los archivos adjuntos habían sido «revisados y aprobados para acceso seguro». En la parte inferior añadían un banner del servicio Paubox, que realmente se utiliza para correo médico seguro en Estados Unidos. Este recurso pretendía convencer a la víctima de que el mensaje era legítimo.
A cada correo se adjuntaba un archivo PDF con nombres como «Awareness Case Log File – Tuesday 14th, April 2026.pdf» o «Disciplinary Action – Employee Device Handling Case.pdf». En su interior había un enlace titulado «Revisar materiales del caso» que iniciaba la cadena de ataque.
Tras el clic, el usuario era redirigido a un sitio controlado por los atacantes, donde se mostraba un CAPTCHA de Cloudflare. La verificación supuestamente confirmaba que el usuario había ingresado a través de una «sesión válida». Ese paso ayudaba a filtrar sistemas automáticos de análisis y entornos aislados.
A continuación se abría una página intermedia con un mensaje indicando que los documentos estaban cifrados y requerían la confirmación de la cuenta. Tras pulsar el botón «Revisar & Firmar» se pedía a la víctima que introdujera su dirección de correo electrónico y luego superara otra CAPTCHA mediante la selección de imágenes.
Tras todas las comprobaciones, el usuario llegaba a la página final con la opción de «iniciar sesión con Microsoft» para ver los materiales del caso y concertar una reunión para tratar la situación. En esa fase se activaba el esquema AiTM, o «atacante en el medio». Este método permite interceptar la sesión de autorización en tiempo real y robar tokens de acceso, incluso si está activada la autenticación multifactor no protegida frente al phishing.
En Microsoft señalaron que los atacantes utilizaron servicios legítimos de envío de correo y máquinas virtuales Windows en la nube. Los mensajes se enviaron desde varios dominios registrados específicamente para la campaña.
La empresa recomienda que las organizaciones activen la protección Safe Links y Safe Attachments en Microsoft Defender for Office 365, usen navegadores con soporte para Microsoft Defender SmartScreen y, siempre que sea posible, migren a la autenticación sin contraseña con claves FIDO, Windows Hello o Microsoft Authenticator.