Los actores de amenazas que participan en ataques de suplantación de identidad explotan los escenarios de enrutamiento y las protecciones de suplantación de identidad mal configuradas para hacerse pasar por los dominios de las organizaciones y distribuir correos electrónicos que parecen haber sido enviados internamente.

«Los actores de amenazas han aprovechado este vector para enviar una amplia variedad de mensajes de suplantación de identidad relacionados con varias plataformas de suplantación de identidad como servicio (PhaaS), como Tycoon 2FA », el equipo de Microsoft Threat Intelligence dijo en un informe del martes. «Entre ellos se incluyen los mensajes con señuelos relacionados con los correos de voz, los documentos compartidos, las comunicaciones de los departamentos de recursos humanos (RRHH), el restablecimiento o la caducidad de contraseñas, etc., que conducen a la suplantación de credenciales».

Si bien el vector de ataque es no necesariamente nuevo , el gigante tecnológico dijo que ha sido testigo de un aumento en el uso de la táctica desde mayo de 2025 como parte de campañas oportunistas dirigidas a una amplia variedad de organizaciones de múltiples industrias y mercados verticales. Esto incluye una campaña que ha empleado correos electrónicos falsos para llevar a cabo estafas financieras contra organizaciones.

Un ataque exitoso podría permitir a los actores de amenazas desviar las credenciales y aprovecharlas para actividades de seguimiento, que van desde el robo de datos hasta el compromiso del correo electrónico empresarial (BEC).

El problema se manifiesta principalmente en escenarios en los que un inquilino ha configurado un escenario de enrutamiento complejo y las protecciones de suplantación no se aplican estrictamente. Un ejemplo de enrutamiento complejo consiste en apuntar el registro del intercambiador de correo (registro MX) a un entorno Exchange local o a un servicio de terceros antes de llegar a Microsoft 365

Esto crea una brecha de seguridad que los atacantes pueden aprovechar para enviar mensajes de suplantación de identidad falsos que parecen provenir del propio dominio del inquilino. Se ha descubierto que la gran mayoría de las campañas de suplantación de identidad que utilizan este enfoque utilizan el Tycoon 2FA Kit PhaaS . Microsoft dijo que bloqueó más de 13 millones de correos electrónicos maliciosos vinculados al kit en octubre de 2025.

Kits de herramientas de PhaaS son plataformas listas para usar que permiten a los estafadores crear y administrar campañas de suplantación de identidad con facilidad, lo que las hace accesibles incluso para quienes tienen conocimientos técnicos limitados. Ellos proporcionar funciones como plantillas de suplantación de identidad personalizables, infraestructura y otras herramientas para facilitar el robo de credenciales y eludir la autenticación multifactorial mediante el uso de la suplantación de identidad tipo adversario-in-the-middle (AiTM).

El fabricante de Windows dijo que también detectó correos electrónicos destinados a engañar a las organizaciones para que pagaran facturas falsas, lo que podría provocar pérdidas financieras. Los mensajes falsificados también se hacen pasar por servicios legítimos como DocuSign o afirman provenir de Recursos Humanos en relación con cambios en los salarios o las prestaciones.

Los correos electrónicos de suplantación de identidad que propagan estafas financieras suelen parecerse a una conversación entre el director ejecutivo de la organización objetivo, una persona que solicita el pago por los servicios prestados o el departamento de contabilidad de la empresa. También contienen tres archivos adjuntos para dar al plan una falsa sensación de confianza:

  • Una factura falsa de miles de dólares para transferir a una cuenta bancaria
  • Un formulario W-9 del IRS con el nombre y el número de seguro social de la persona utilizada para abrir la cuenta bancaria
  • Al parecer, un empleado del banco en línea utilizado para configurar la cuenta fraudulenta proporcionó una carta bancaria falsa.

«Pueden emplear enlaces en los que se puede hacer clic en el cuerpo del correo electrónico o códigos QR en los archivos adjuntos u otros medios para hacer que el destinatario navegue hasta una página de destino de suplantación de identidad», añadió. «La apariencia de que se ha enviado desde una dirección de correo electrónico interna es la distinción más visible para un usuario final, ya que a menudo utiliza la misma dirección de correo electrónico en los campos «Para» y «De».

Para contrarrestar este riesgo, se recomienda a las organizaciones que establezcan una estricta autenticación, generación de informes y conformidad de mensajes (DMARC) basada en el dominio rechazar y marco de políticas para remitentes (SPF) políticas fallidas y configurar correctamente conectores de terceros, como servicios de filtrado de spam o herramientas de archivado.

Vale la pena señalar que los inquilinos con registros MX que apuntan directamente a Office 365 no son vulnerables al vector de ataque. Además, se recomienda desactivar el envío directo si no es necesario rechazar correos electrónicos suplantar los dominios de la organización.

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.