Microsoft ha emitido una alerta tras detectar una sofisticada campaña de phishing a gran escala diseñada para robar credenciales mediante técnicas avanzadas de engaño. Esta operación combina correos electrónicos aparentemente legítimos con tácticas de suplantación para redirigir a las víctimas hacia dominios controlados por ciberdelincuentes.
Una ofensiva global con miles de víctimas potenciales
La campaña, identificada a mediados de abril, ha impactado a más de 35.000 usuarios pertenecientes a más de 13.000 organizaciones distribuidas en 26 países. La mayoría de los objetivos se concentraron en Estados Unidos, representando el 92% de los casos.
Los sectores más afectados incluyen:
- Salud y ciencias de la vida (19%)
- Servicios financieros (18%)
- Servicios profesionales (11%)
- Tecnología y software (11%)
Correos más creíbles y diseñados para generar urgencia
Uno de los elementos más preocupantes de esta campaña es el alto nivel de sofisticación en los correos electrónicos. Los atacantes utilizaron plantillas HTML con apariencia corporativa, estructuras bien definidas y mensajes que aparentaban ser comunicaciones internas oficiales.
Además, los correos incorporaban advertencias que aseguraban que el contenido había sido validado por canales internos autorizados, reforzando la sensación de legitimidad. A esto se suma el uso de mensajes con plazos urgentes y acusaciones, lo que presiona a los usuarios a actuar rápidamente sin cuestionar la autenticidad.
Los señuelos giraban en torno a supuestas revisiones de código de conducta empresarial, utilizando asuntos como notificaciones de incumplimiento o registros internos abiertos.
Uso de servicios legítimos y técnicas avanzadas de evasión
Los mensajes eran enviados desde servicios de correo electrónico reales, lo que dificulta su detección. Además, incluían archivos PDF que invitaban a los usuarios a iniciar procesos relacionados con supuestas revisiones internas.
Al hacer clic, las víctimas eran conducidas a una cadena de páginas que incluía múltiples CAPTCHAs y pasos intermedios diseñados para simular legitimidad y evadir sistemas automatizados de seguridad.
El ataque culminaba en una página de inicio de sesión falsa que utilizaba técnicas de phishing tipo adversario en el medio (AiTM), permitiendo capturar credenciales y tokens en tiempo real, incluso sorteando sistemas de autenticación multifactor (MFA).
El phishing evoluciona: QR y CAPTCHA como nuevas armas
El informe también destaca tendencias recientes en el panorama de amenazas. Entre enero y marzo de 2026, Microsoft detectó aproximadamente 8.300 millones de intentos de phishing por correo electrónico.
El phishing mediante códigos QR ha experimentado un crecimiento significativo, pasando de 7,6 millones de ataques en enero a 18,7 millones en marzo, lo que representa un incremento del 146%. En muchos casos, estos códigos se insertan directamente en el cuerpo de los correos.
Por otro lado, el uso de CAPTCHA en ataques también ha evolucionado, empleándose como mecanismo para dificultar la detección por parte de herramientas de seguridad.
En cuanto a las cargas maliciosas, cerca del 80% de los ataques se basaban en enlaces, siendo los archivos HTML y ZIP los más utilizados. El objetivo principal sigue siendo el robo de credenciales, mientras que la distribución de malware ha disminuido hasta un 5-6%.
Aumento de ataques BEC y nuevas estrategias de engaño
Las estafas de compromiso de correo electrónico empresarial (BEC) también han mostrado un comportamiento creciente, alcanzando más de 4 millones de ataques en marzo de 2026 y acumulando un total de 10,7 millones en el trimestre.
Asimismo, se ha detectado un incremento en campañas que suplantan a autoridades fiscales o entidades financieras, utilizando mensajes sobre reembolsos, verificaciones o documentos pendientes para engañar a los usuarios.
Recomendación: máxima precaución ante correos sospechosos
Este escenario confirma que el phishing continúa evolucionando con técnicas cada vez más convincentes. La combinación de ingeniería social, uso de servicios legítimos y métodos avanzados de evasión convierte a estas campañas en una amenaza crítica para empresas y usuarios.
La principal recomendación es mantener una actitud crítica ante cualquier correo inesperado, especialmente aquellos que generan urgencia o solicitan credenciales.
Visítanos diariamente para que no te pierdas ninguna noticia.
Suscríbete al canal de YouTube donde verás Unboxing y Reviews de smartphones. Además, no olvides visitar nuestras redes sociales.
Deja un comentario