Microsoft ha explicado que se está llevando a cabo un ciberataque mediante phishing a gran escala que vuelve a poner sobre la mesa una realidad incómoda para las empresas: los atacantes ya no necesitan correos mal escritos, dominios sospechosos o adjuntos rudimentarios para engañar a sus víctimas. La operación, detectada entre el 14 y el 16 de abril de 2026, utilizó señuelos corporativos cuidadosamente diseñados, servicios legítimos de correo electrónico y técnicas de adversary-in-the-middle para robar credenciales y tokens de autenticación en tiempo real.
Según la información divulgada por Microsoft la campaña afectó a más de 35.000 usuarios de más de 13.000 organizaciones en 26 países. El 92% de los objetivos se encontraban en Estados Unidos, aunque el alcance internacional de la operación confirma que este tipo de ataques ya se mueven con una lógica industrial.
Los sectores más atacados fueron salud y ciencias de la vida, con un 19% de los correos detectados; servicios financieros, con un 18%; servicios profesionales, con un 11%; y tecnología y software, también con un 11%.
Falsas revisiones del código de conducta
La particularidad de esta campaña no está solo en su volumen, sino en su puesta en escena. Los atacantes emplearon mensajes relacionados con supuestas revisiones del código de conducta interno de las empresas. Para ello utilizaron nombres visibles como “Internal Regulatory COC”, “Workforce Communications” o “Team Conduct Report”, junto con asuntos diseñados para generar preocupación inmediata, como “Internal case log issued under conduct policy” o “Reminder: employer opened a non-compliance case log”.
El objetivo era claro: hacer creer al destinatario que existía un expediente interno, una revisión de cumplimiento o una posible infracción laboral que requería una acción urgente.
Microsoft destaca que los correos empleaban plantillas HTML pulidas, con apariencia corporativa, estructuras ordenadas y mensajes de autenticidad preventiva. En la parte superior del correo se incluían avisos que afirmaban que la comunicación había sido emitida a través de un canal interno autorizado y que los enlaces o archivos adjuntos habían sido revisados y aprobados para acceso seguro.
Un PDF como puerta de entrada al robo de credenciales
La cadena de ataque comenzaba con correos enviados desde un servicio legítimo de entrega de email, lo que ayudaba a mejorar su reputación frente a filtros antiphishing. Los mensajes incluían un archivo PDF que supuestamente contenía información adicional sobre la revisión de conducta.
Dentro de ese documento, la víctima encontraba un enlace que iniciaba el proceso de robo de credenciales. El uso del PDF añadía una capa de aparente formalidad y permitía desplazar el enlace malicioso fuera del cuerpo principal del correo, una técnica habitual para intentar reducir la detección automática.
CAPTCHA y páginas intermedias para esquivar defensas
A partir de ahí, la operación se volvía más sofisticada. Los usuarios eran redirigidos a través de varias páginas intermedias y desafíos CAPTCHA. Esta técnica cumple una doble función: por un lado, refuerza la sensación de legitimidad, ya que muchos servicios reales utilizan verificaciones similares; por otro, dificulta el análisis automatizado por parte de herramientas de seguridad, sandboxes y bots defensivos.
El CAPTCHA ya no debe interpretarse siempre como una señal de seguridad. En campañas recientes se ha convertido también en una barrera colocada por los atacantes para separar a usuarios reales de sistemas automáticos de detección.
Phishing AiTM: cómo se intenta burlar la autenticación multifactor
El destino final era una página de inicio de sesión fraudulenta diseñada para capturar credenciales de Microsoft y tokens de autenticación. En este punto entra en juego una técnica especialmente peligrosa: el phishing adversary-in-the-middle, o AiTM.
A diferencia del phishing tradicional, que se limita a robar usuario y contraseña, el AiTM se interpone entre la víctima y el servicio legítimo. Esto permite capturar cookies de sesión o tokens en tiempo real, lo que puede facilitar el acceso a la cuenta incluso cuando la organización tiene activada la autenticación multifactor.
Este detalle es fundamental. Durante años, la autenticación multifactor se ha presentado como una barrera imprescindible contra el robo de credenciales, y lo sigue siendo. Sin embargo, campañas como esta demuestran que los atacantes están adaptando sus métodos para sortearla. No la rompen en sentido criptográfico, sino que intentan capturar la sesión después de que el usuario haya completado el proceso de autenticación.
