Microsoft ya no puede garantizar que un correo oficial sea seguro para verificar con doble factor

Algunos correos enviados desde direcciones oficiales de Microsoft, como [email protected], han terminado implicados en campañas fraudulentas. Los mensajes llegan con la apariencia habitual de una alerta de seguridad o un código de autenticación. Además, consiguen superar muchos filtros antispam porque el remitente sí pertenece a Microsoft, según ha publicado el portal especializado TechCrunch.

Más de 35.000 usuarios de Microsoft 365 han estado en el punto de mira de una campaña de phishing detectada por la compañía en apenas 48 horas. Los ataques han alcanzado a más de 13.000 organizaciones de 26 países. La estrategia ha consistido en aprovechar los sistemas legítimos de Microsoft para engañar a las víctimas.

Lo más preocupante es que el usuario puede caer en la trampa incluso haciendo todo correctamente. La víctima entra en páginas auténticas de Microsoft, completa el doble factor y, sin saberlo, termina autorizando el acceso del atacante a Outlook, Teams, OneDrive o documentos internos de empresa.

El nuevo phishing ya no roba contraseñas

El phishing —el ciberataque que suplanta a empresas, instituciones o bancos para robar información— lleva años amenazando a usuarios. La técnica más utilizada en estas campañas se conoce como «device-code phishing». Microsoft diseñó este sistema para facilitar el inicio de sesión en dispositivos donde resulta incómodo escribir una contraseña, como televisores, consolas o equipos compartidos.

Los atacantes han convertido ese proceso seguro en una nueva amenaza. Primero envían un correo electrónico con apariencia de factura, documento compartido o alerta urgente. Después muestran un código y piden a la víctima introducirlo en microsoft.com/devicelogin, una página oficial de Microsoft.

Ahí está la trampa. El código no pertenece al usuario, sino a la sesión iniciada por el atacante. Cuando la víctima completa el doble factor, Microsoft entrega tokens de acceso válidos que permiten entrar en la cuenta sin volver a pedir la contraseña.

El doble factor ya no es infalible

La autenticación en dos factores lleva años siendo la gran barrera contra el robo de cuentas. Google, Apple, Meta o Microsoft la han convertido en una medida básica de seguridad. Es capaz de evitar que una contraseña robada sea suficiente para entrar en la cuenta. Ahora, los ciberdelincuentes buscan engañar al usuario para que sea él mismo quien autorice la sesión fraudulenta.

Ese cambio preocupa especialmente a las empresas tecnológicas porque demuestra que los sistemas clásicos de protección ya no bastan por sí solos. Sigue siendo necesario revisar el remitente, comprobar enlaces o activar el doble factor, pero ya no garantiza la protección total.

Ante esta situación, Microsoft lleva meses insistiendo en el uso de métodos resistentes al phishing, como passkeys, llaves FIDO2 o Windows Hello. Estos sistemas vinculan el acceso al dispositivo físico del usuario y dificultan mucho que la sesión pueda ser hackeada.

Que buscan los ciberdelincuentes

Con las sesiones abiertas y los tokens de acceso, los atacantes pueden entrar en correos corporativos, descargar archivos internos, revisar conversaciones de Teams o preparar fraudes desde cuentas reales de empresas. En algunos casos, incluso crean reglas ocultas para reenviar mensajes automáticamente y mantener el acceso durante semanas.

Microsoft también ha alertado de que estas campañas utilizan kits de phishing cada vez más sofisticados. Estas herramientas permiten automatizar ataques masivos y adaptarse a distintos tipos de empresas.

Qué hacer si recibimos un correo sospechoso

Si llega un código de autenticación que no se ha solicitado, nunca debe introducirse. En caso de que suceda, lo primero es bloquear temporalmente la cuenta o restablecer la contraseña con una clave nueva y segura. Después conviene cerrar todas las sesiones abiertas para bloquear el acceso del atacante.

También es aconsejable revisar los métodos de seguridad asociados a la cuenta y comprobar los dispositivos conectados. Si aparece un móvil, ordenador o aplicación que el usuario no reconoce, debe eliminarse inmediatamente. Otro paso importante es importante revisar la actividad reciente de la cuenta. Microsoft permite comprobar desde qué ubicación, dispositivo o dirección IP se ha iniciado sesión. Si aparece un acceso extraño, la recomendación es marcarlo como actividad sospechosa y seguir el proceso oficial de recuperación de cuenta.

El gran cambio no está en que Microsoft haya sido hackeada, sino en que los ciberdelincuentes han aprendido a convertir herramientas legítimas en parte del engaño.