Ataques de suplantación de TI en Teams: la nueva amenaza a inquilinos M365

Microsoft Teams se ha convertido en una herramienta esencial para la comunicación empresarial, pero también en un nuevo vector de ataque. Según un informe de TechRadar, los ciberdelincuentes están explotando la confianza que los empleados depositan en los mensajes internos para hacerse pasar por el equipo de soporte técnico y robar credenciales de acceso a inquilinos de Microsoft 365. Este tipo de suplantación, conocido como 'vishing' en su versión telefónica, ahora se adapta a las plataformas de mensajería instantánea, aprovechando la inmediatez y la familiaridad que generan.

¿Qué ha ocurrido?

Los atacantes envían mensajes directos en Teams a empleados, simulando ser del departamento de TI. Alegan problemas de seguridad o actualizaciones urgentes y solicitan al usuario que haga clic en un enlace o que proporcione su contraseña. Una vez obtenidas las credenciales, acceden al inquilino M365, donde pueden robar datos, instalar malware o moverse lateralmente por la red. Este ataque no es nuevo en el correo electrónico (phishing), pero su traslado a Teams lo hace más peligroso porque la mensajería instantánea genera mayor sensación de urgencia y confianza. Además, las herramientas de colaboración suelen tener menos filtros de seguridad que el correo. De hecho, según datos de Proofpoint, el 83% de las organizaciones reportaron ataques de suplantación de identidad en plataformas de colaboración en 2022, un aumento del 50% respecto al año anterior.

El modus operandi típico comienza con la obtención de nombres de empleados y sus roles, a menudo a través de LinkedIn o sitios web corporativos. Luego, el atacante se une a un chat grupal o inicia una conversación directa, utilizando un perfil falso que imita al equipo de TI. La solicitud suele incluir un enlace a una página de inicio de sesión falsa de Microsoft 365, donde se capturan las credenciales. En algunos casos, los atacantes incluso utilizan técnicas de 'deepfake' para simular llamadas de voz o videollamadas, aunque esto es menos común.

¿Por qué es importante?

Microsoft Teams cuenta con más de 280 millones de usuarios activos mensuales, según datos de Microsoft de 2023. La suplantación de TI explota la relación de autoridad y la falta de verificación visual en los chats. Cualquier empleado con acceso a Teams puede ser víctima, independientemente de su rol. Las consecuencias incluyen:

• Pérdida de datos confidenciales, como propiedad intelectual o información financiera.
• Compromiso de todo el inquilino M365, permitiendo al atacante acceder a correos, archivos y otras aplicaciones.
• Instalación de ransomware o malware, que puede paralizar operaciones.
• Daño reputacional y costes de recuperación, que según IBM pueden superar los 4 millones de dólares en promedio para una filtración de datos.

Este ataque es particularmente efectivo porque los empleados están acostumbrados a recibir instrucciones de TI a través de la misma plataforma. Además, la integración de Teams con otras herramientas de Microsoft (como Outlook o SharePoint) facilita el movimiento lateral una vez que se obtiene acceso. Un estudio de Barracuda Networks reveló que el 60% de las organizaciones experimentaron al menos un ataque de suplantación en Teams en 2023.

¿Qué consecuencias tendrá?

Se espera un aumento de este tipo de ataques a medida que más organizaciones dependan de Teams. Los departamentos de seguridad deberán implementar políticas de verificación multicanal (por ejemplo, confirmar por correo o teléfono cualquier solicitud de credenciales). Además, Microsoft podría verse forzada a añadir indicadores visuales de autenticidad en los mensajes de soporte, como insignias verificadas o notificaciones de seguridad. Ya en 2022, Microsoft introdujo características como 'Microsoft Defender for Office 365' para proteger contra amenazas en Teams, pero la suplantación de identidad sigue siendo un desafío.

En el ámbito regulatorio, la creciente sofisticación de estos ataques podría llevar a una mayor presión sobre las empresas para que demuestren cumplimiento con normativas como GDPR o HIPAA, que exigen protección de datos personales. Las multas por filtraciones pueden alcanzar el 4% de los ingresos globales anuales. Además, los seguros cibernéticos están exigiendo controles más estrictos, como autenticación multifactor (MFA) y formación continua, para mantener la cobertura.

¿Qué deben saber los lectores?

Para protegerse, las empresas deben:

• Formar a los empleados para que desconfíen de mensajes no solicitados que pidan credenciales o clics en enlaces. Simulacros de phishing periódicos pueden ayudar a reforzar la conciencia.
• Implementar autenticación multifactor (MFA) en todos los inquilinos M365. Según Microsoft, MFA puede bloquear el 99.9% de los ataques automatizados.
• Usar políticas de acceso condicional que limiten el acceso desde ubicaciones o dispositivos no confiables, y exigir que las solicitudes de TI se realicen a través de canales aprobados.
• Establecer un canal oficial de comunicación para solicitudes de TI, como un número de teléfono o un portal web, y comunicarlo claramente a todos los empleados.
• Monitorear actividad anómala en Teams, como inicios de sesión desde IPs desconocidas, creación de cuentas nuevas o envío de enlaces sospechosos. Herramientas como Microsoft Cloud App Security pueden ayudar.

La ingeniería social sigue siendo la puerta de entrada más común para los ciberataques. La suplantación en Teams es solo la última variante de una táctica tan antigua como efectiva. Como señaló el informe de Verizon de 2023, el 74% de las filtraciones involucran el factor humano.

Los usuarios individuales también deben estar alerta: ningún equipo de TI legítimo pedirá tu contraseña por chat. Ante la duda, contacta directamente a soporte por otro medio. Además, revisa los permisos de las aplicaciones y evita hacer clic en enlaces acortados sin verificar el destino.

Conclusión

La suplantación de TI en Microsoft Teams es una amenaza real y creciente. La combinación de confianza, urgencia y falta de verificación la convierte en un arma eficaz para los ciberdelincuentes. La prevención requiere educación, tecnología y procesos claros. No esperes a que un ataque comprometa tu organización. Implementa medidas como MFA, políticas de acceso condicional y formación continua para reducir el riesgo. El costo de la prevención es siempre menor que el de una filtración.