CIUDAD DE MÉXICO.- Dos grupos de ciberdelincuentes han comenzado a explotar vulnerabilidades en plataformas populares como Microsoft Office 365 y herramientas de gestión remota, como Quick Assist, para infiltrarse en redes corporativas y robar datos sensibles, desplegando ransomware en el proceso.
Ambas campañas están actualmente en pleno auge, con más de 15 incidentes reportados en los últimos tres meses. De estos, la mitad ocurrieron en las últimas semanas. Así es como los ciberdelincuentes están robando datos:
Primero identifican a un pequeño grupo específico de empleados en una empresa que utiliza Microsoft Teams.
Envían a estos empleados miles de correos electrónicos no deseados en un periodo muy corto; en un caso, más de 3,000 correos en menos de una hora (una técnica conocida como bombardeo de correos electrónicos o email bombing).
Siguen con llamadas de voz y video a través de Microsoft Teams, ofreciendo ayuda para resolver el problema del spam.
Luego, utilizando Quick Assist o la función de compartir pantalla de Microsoft Teams, toman el control del equipo del empleado y despliegan ransomware.
Sophos X-Ops ha identificado vínculos entre uno de estos grupos de actores maliciosos y el grupo cibercriminal ruso Fin7. El otro grupo comparte vínculos con el grupo ruso Storm-1811. Sophos está publicando esta investigación para ayudar a las organizaciones a defenderse contra esta campaña activa y aumentar la conciencia sobre su creciente impacto.
Sean Gallagher, investigador principal de amenazas en Sophos, afirma:
“La explotación de herramientas de gestión remota y el abuso de servicios legítimos están en aumento. Muchas empresas no sospechan cuando reciben llamadas de soporte a través de Microsoft Teams, especialmente si la llamada es etiquetada como ‘Help Desk Manager’ y acompañada de un bombardeo de correos spam.
Mientras Sophos sigue identificando nuevos casos de MDR e IR asociados con estas tácticas, queremos que las empresas que usan Microsoft 365 estén en alerta máxima. Deberían revisar las configuraciones a nivel empresarial, bloquear mensajes de cuentas externas si es posible y restringir herramientas de acceso remoto y de gestión remota que no sean utilizadas regularmente por sus organizaciones.”
¿Qué significa esto para las empresas mexicanas? Con la creciente digitalización en México, muchas organizaciones están adoptando herramientas como Microsoft Teams para mejorar su productividad, lo que las hace más vulnerables a estos ataques. Es esencial que las empresas mexicanas refuercen sus medidas de seguridad para protegerse de estos ciberdelincuentes que cada vez son más sofisticados.
Sophos recomienda a las empresas que utilizan Microsoft 365 que revisen sus configuraciones de seguridad, bloqueen mensajes de cuentas externas y restrinjan el acceso remoto innecesario.
Datos relevantes:
A principios de 2020, Microsoft Teams contaba con 115 millones de usuarios activos diarios. De acuerdo con Statista, en enero de 2025, el número llegó a 320 millones, lo que lo convierte en un blanco clave para los ciberdelincuentes.
Microsoft Teams no solo se utiliza para colaboración interna en las empresas, sino también para comunicación externa y clases en línea.
AM.MX/fm
