- Campaña masiva de phishing aprovecha funciones legítimas de Microsoft Teams para lanzar avisos falsos de facturación.
- Los equipos se crean con nombres ofuscados y se invita a víctimas como "invitados" para que llamen a números de soporte fraudulentos.
- Más de 6.100 usuarios afectados, con especial incidencia en Europa y sectores como manufactura, tecnología, educación y servicios profesionales.
- Expertos recomiendan protección en capas, refuerzo de identidades y formación continua para detectar invitaciones sospechosas en entornos corporativos.
En las últimas semanas se ha destapado una campaña de phishing que utiliza Microsoft Teams como gancho y que está logrando colarse en organizaciones de todo el mundo, incluidas compañías europeas. Los atacantes han encontrado la forma de aprovechar funciones totalmente legítimas de la plataforma para enviar invitaciones que, a simple vista, parecen notificaciones normales de trabajo.
Detrás de estos mensajes hay una operación bien organizada que mezcla ingeniería social, ofuscación de nombres y llamadas telefónicas a números falsos de soporte. La combinación de apariencia oficial, urgencia por supuestos problemas de facturación y uso de canales corporativos de confianza provoca que muchos usuarios bajen la guardia y acaben siguiendo las instrucciones de los delincuentes.
Cómo funciona la campaña de phishing que abusa de Microsoft Teams
El análisis de Check Point Research, la unidad de inteligencia de amenazas de Check Point Software, ha sacado a la luz una campaña a gran escala que gira por completo en torno a Microsoft Teams. En lugar de los típicos correos con enlaces maliciosos, los atacantes han optado por un enfoque algo distinto: crear equipos dentro de Teams con nombres que simulan avisos urgentes de pagos o suscripciones.
Esos equipos se bautizan con denominaciones relacionadas con facturación, renovaciones o incidencias de pago, pero introducen cambios sutiles mediante sustitución de caracteres o glifos casi idénticos a los originales. Esta ofuscación de los nombres les ayuda a superar muchos filtros automáticos y, al mismo tiempo, hace que para el usuario medio parezcan notificaciones completamente normales del entorno corporativo.
Una vez creado el equipo fraudulento, los cibercriminales recurren a la función oficial de Microsoft Teams denominada “Invitar a un invitado”. A través de esta característica, envían invitaciones a usuarios externos que reciben un aviso con el nombre del equipo muy destacado. El mensaje, que procede de infraestructura legítima de Microsoft, se confunde fácilmente con una alerta real de la empresa o del propio servicio.
La trampa no se basa en adjuntos infectados ni en enlaces a páginas maliciosas, sino en inducir a la víctima a llamar por teléfono a un supuesto servicio de soporte. En el texto se indica que existe un problema de facturación o de renovación de una suscripción y se solicita al usuario que contacte con un número para “resolver la incidencia”. Ese número está controlado por los atacantes, que desde ahí continúan el fraude, normalmente solicitando datos sensibles, acceso remoto o información de pago.
Este enfoque se apoya casi por completo en la ingeniería social por voz (vishing), aprovechando el prestigio y el uso masivo de Microsoft Teams en el ámbito empresarial, y recuerda otras campañas de estafa en redes sociales como TikTok e Instagram. Al no incluir enlaces maliciosos ni archivos extraños, muchos sistemas de defensa tradicionales tienen más dificultades para detectar el engaño en las primeras fases.
Dimensión del ataque: miles de correos, usuarios afectados y sectores en el punto de mira
Los datos recopilados por Check Point Research indican que la campaña ha sido persistente y con un alcance significativo. En total, se han identificado 12.866 correos electrónicos asociados a esta operación, que habrían llegado a 6.135 usuarios diferentes. Esto supone una media de alrededor de 990 mensajes diarios en los periodos de mayor actividad, lo que da una idea del nivel de automatización y de volumen de la infraestructura empleada por los delincuentes.
La campaña no se centra en una industria concreta, sino que busca explotar la amplia implantación de Microsoft Teams en el tejido empresarial. Aun así, el análisis sectorial muestra que ciertos ámbitos han sufrido un impacto mayor. Los más afectados son las organizaciones de manufactura, ingeniería y construcción, que concentran el 27,4% de los casos detectados. Les siguen el sector tecnológico y el educativo, que suman conjuntamente un 18,6% de los incidentes, y los servicios profesionales (consultorías, despachos, firmas de servicios especializados), con un 11,2%.
Otras áreas que también figuran en las estadísticas son las administraciones públicas, con un 8,1% de los eventos, y las entidades financieras, que representan el 7,3%. El patrón sugiere que los atacantes no están buscando un perfil de negocio extremadamente específico, sino aprovechar cualquier organización en la que Teams sea un canal clave de coordinación diaria y donde un supuesto problema de pagos pueda generar urgencia.
En términos geográficos, el grueso de la actividad se ha concentrado en Estados Unidos, que aglutina el 67,9% de los incidentes observados. Sin embargo, Europa también se ve directamente afectada, con un 15,8% de los casos, lo que implica que empresas y organismos del continente no pueden relajarse. La presencia de esta campaña en territorio europeo encaja con los avisos más generales que organismos como CERT-EU llevan tiempo lanzando sobre el aumento de ataques contra cuentas corporativas de Microsoft 365 y servicios asociados.
Asia aparece con un 6,4% del total, mientras que en Latinoamérica el impacto es del 2,4%, con países como Brasil, México y Argentina a la cabeza. Aunque los porcentajes varían según la región, el denominador común es claro: el aprovechamiento de plataformas colaborativas como vector de entrada está ya plenamente asentado en el repertorio de muchos grupos de ciberdelincuentes.
Por qué el ataque es tan creíble: funciones legítimas y confianza en la plataforma
Uno de los aspectos más preocupantes de esta campaña es que no basa su éxito en vulnerabilidades técnicas profundas, sino en el uso creativo de funciones estándar de Microsoft Teams. Los atacantes no necesitan “romper” la plataforma, sino apoyarse en su diseño colaborativo para dar apariencia totalmente normal a sus comunicaciones. El mero hecho de que la invitación llegue desde direcciones y dominios de Microsoft eleva de forma automática el nivel de confianza del destinatario.
Además, la forma en que se presentan los equipos —con nombres que parecen avisos internos de facturación o de suscripciones— refuerza esa sensación de urgencia legítima. En muchas empresas, especialmente en las que trabajan con suscripciones de software, servicios en la nube o renovaciones periódicas, recibir recordatorios de pago es algo cotidiano. Esa familiaridad juega a favor del atacante, que sabe que un posible “bloqueo de cuenta” o una “incidencia en la facturación” es un pretexto muy eficaz para que el usuario actúe deprisa.
La ausencia de enlaces sospechosos en el mensaje inicial también dificulta las cosas. En campañas de phishing tradicionales, los filtros y las propias personas se han acostumbrado a desconfiar de URL extrañas o de adjuntos inesperados. Aquí, por el contrario, se traslada la acción a una llamada telefónica, lo que reduce la huella técnica en el correo y desplaza el riesgo a un canal donde muchas organizaciones tienen menos controles automatizados.
Desde el punto de vista de la seguridad corporativa, lo que muestra este caso es hasta qué punto las “vías de confianza” pueden reconvertirse en vectores de ataque. Si un empleado está habituado a recibir notificaciones de Teams a diario, es mucho más probable que abra un aviso sin dedicarle demasiada atención. Y si, además, el texto incluye términos como “suspensión de servicio” o “error de facturación”, la combinación de costumbre y miedo a perder acceso empuja a muchos a seguir las instrucciones casi sin pensarlo.
Esta misma lógica conecta con las advertencias que CERT-EU y otros equipos de respuesta europeos han venido lanzando con respecto a campañas de phishing orientadas a cuentas de Microsoft 365. Aunque en esos avisos se describen más a menudo correos que llevan a portales de inicio de sesión falsos, el patrón de fondo es el mismo: explotar plataformas y marcas de alta confianza para robar credenciales o forzar acciones que beneficien a los atacantes.
Riesgos para empresas europeas: datos, identidad y efecto en cadena
En el contexto europeo, donde la mayoría de las organizaciones medianas y grandes trabajan ya con entornos híbridos o completamente en la nube, una intrusión a través de Microsoft Teams no se limita al chat o a una reunión. Una vez que el atacante consigue arrastrar al usuario a la llamada fraudulenta, el siguiente paso suele ser solicitar información que le permita entrar en otros servicios, como el correo corporativo, OneDrive o SharePoint, o bien acceder a datos de facturación o tarjetas.
Si logran ese acceso adicional, el incidente se convierte en un problema de protección de datos y de continuidad de negocio. Documentos internos, historiales de conversación, archivos compartidos o incluso flujos de aprobación financiera pueden quedar expuestos. En organizaciones reguladas o sometidas a normativas estrictas como el RGPD, un acceso no autorizado a este tipo de información puede derivar en notificaciones obligatorias a autoridades y clientes, sanciones y un desgaste reputacional considerable.
El riesgo no termina en la primera víctima. En muchos casos, una vez que los atacantes obtienen credenciales, intentan movimientos laterales dentro del entorno de Microsoft 365. Pueden probar accesos a Exchange Online, revisar reglas de reenvío de correo, explorar aplicaciones asociadas a la cuenta o incluso lanzar nuevos intentos de phishing desde la identidad comprometida, esta vez hacia compañeros, proveedores o clientes.
Este enfoque recuerda al tipo de escenario descrito en alertas de CERT-EU sobre campañas activas contra cuentas corporativas: el objetivo no es solo leer correos, sino hacerse con una identidad que permita navegar por toda la suite de Microsoft 365 como si fuera el propio usuario. Desde ahí, se abre la puerta a fraudes de pago, robo de información confidencial o preparación de ataques de mayor calado.
Como han demostrado incidentes recientes en distintos sectores, el impacto real de estos ataques se mide tanto en el tiempo de recuperación como en los recursos dedicados a análisis forense, cambios de contraseñas, auditoría de accesos y comunicación con terceros. Aunque en la campaña de Teams detectada por Check Point Research no se haya observado el despliegue de malware sofisticado, la combinación de ingeniería social y abuso de plataformas legítimas basta para causar daños significativos si no se corta a tiempo.
Recomendaciones de los expertos: protección en capas y usuarios más alerta
Para los especialistas en ciberseguridad, este tipo de campañas refuerza una idea que lleva tiempo repitiéndose: no basta con proteger el correo electrónico de forma aislada. En un entorno en el que Outlook, Teams y el resto de aplicaciones de Microsoft 365 se integran y comparten identidad, cualquier canal puede convertirse en el primer peldaño de un ataque más amplio.
Rafael López, ingeniero de seguridad especializado en protección de correo electrónico en Check Point Software, subraya que los atacantes se apoyan en funciones legítimas de Microsoft Teams y en nombres de equipos ofuscados para evadir algunas medidas defensivas y engañar a los usuarios con supuestos avisos de facturación. Según explica, el hecho de combinar ingeniería social con una plataforma percibida como segura multiplica la efectividad del fraude, lo que hace imprescindible contar con contramedidas más completas.
Entre esas contramedidas, los expertos coinciden en la necesidad de adoptar una protección avanzada en capas. Esto incluye soluciones capaces de analizar el contexto de los mensajes, detectar patrones inusuales de invitaciones, correlacionar actividad en distintas aplicaciones y generar alertas cuando se identifican comportamientos sospechosos, como invitaciones masivas desde equipos recién creados o variaciones extrañas en los nombres de grupos.
La otra gran pata de la defensa sigue siendo la formación de los usuarios. En empresas europeas, donde el teletrabajo y los entornos híbridos se han consolidado, muchas interacciones que antes se daban en persona ahora pasan por Teams o por correo. Enseñar a los empleados a desconfiar de invitaciones inesperadas relacionadas con pagos, a revisar con calma el nombre del equipo y a confirmar por canales internos antes de llamar a un número desconocido puede marcar la diferencia entre un susto y un incidente serio.
Los especialistas recomiendan, además, reforzar la seguridad de la identidad en Microsoft 365 mediante autenticación multifactor, políticas de acceso condicional que dificulten el uso de credenciales robadas y una supervisión más cuidadosa de accesos anómalos. Aunque en la campaña de Teams descrita el primer paso sea una llamada, muchas veces el siguiente movimiento de los atacantes pasa por intentar entrar con datos obtenidos durante la conversación.
Con todo lo que se está viendo en esta operación y en otras similares, queda bastante claro que las empresas europeas deben asumir que las plataformas colaborativas forman ya parte del perímetro de seguridad. Blindar Teams, correo y resto de servicios en la nube con un enfoque coherente, sumar formación continua y reaccionar rápido ante cualquier señal rara se ha convertido en una pieza básica para mantener a raya este tipo de campañas.
Editor profesional de Tecnología y Software