Una modalidad de estafa, identificada por expertos de Kaspersky, está ganando terreno entre los ciberdelincuentes y representa un riesgo creciente para empresas. A diferencia del phishing convencional, esta técnica aprovecha correos electrónicos auténticos enviados desde la dirección oficial de Microsoft (microsoft-noreply@microsoft.com), lo que dificulta su detección y aumenta su efectividad.

El engaño comienza cuando un empleado recibe un mensaje legítimo que confirma la compra de licencias de software por varios cientos de dólares. Aunque el correo proviene directamente del sistema de Microsoft 365, los estafadores manipulan los datos de facturación para insertar un número de teléfono falso, acompañado de un mensaje que sugiere llamar si existe algún problema con la transacción.

Preocupado por una compra que no hizo, y sin poder responder al correo porque es una dirección automática, el empleado llama al número. Al otro lado de la línea, una persona que se hace pasar por soporte técnico de Microsoft ofrece “ayuda” e indica a la víctima que instale un programa en su computadora. Pero ese programa en realidad es malicioso: puede permitir que los delincuentes vean lo que hace el usuario, roben contraseñas, accedan a cuentas bancarias o incluso tomen el control completo del equipo.

Una posible explicación que brindan los especialistas de Kaspersky, es que los delincuentes pudieron haber tenido acceso a credenciales para generar compras falsas y hacer que el sistema envíe automáticamente estos correos a la persona que quieren engañar. El único campo que pueden modificar es la información de facturación, donde colocan su número y mensaje. Como todo lo demás del correo es legítimo, el mensaje pasa filtros de seguridad sin problemas.

Además del riesgo inmediato para el empleado afectado, este tipo de ataques representa un peligro considerable porque muchas personas utilizan sus computadoras de trabajo para realizar actividades personales. Según el estudio Resaca Digital de Kaspersky, el 70% de los usuarios en México revisa su correo personal desde el equipo laboral, el 50% accede o publica en redes sociales y el 34% realiza compras en línea. Estas prácticas amplían la superficie de ataque, ya que los ciberdelincuentes pueden aprovechar cualquier descuido, como una contraseña débil o un acceso simultáneo a servicios personales, para obtener información valiosa o introducir software malicioso.

En el contexto corporativo, una sola computadora comprometida puede servir como puerta de entrada para atacar a toda la organización. Si el atacante logra instalar un programa malicioso, puede moverse dentro de la red, recopilar credenciales de acceso a sistemas internos, interceptar información confidencial e incluso lanzar ataques más destructivos, como el secuestro de datos (ransomware). En estos casos, el daño no solo afecta al usuario, sino que puede escalar rápidamente y poner en riesgo la continuidad operativa de la empresa.

“Este tipo de estafa es especialmente peligrosa porque se basa en un engaño emocional muy simple: el miedo a haber cometido un error costoso en el trabajo. Los atacantes saben que, si logran asustar a alguien con una supuesta compra de cientos de dólares, lo más probable es que actúe rápido sin pensar demasiado. Y como el correo viene de Microsoft, no genera sospechas”, aseguró Lisandro Ubiedo, analista de seguridad del Equipo Global de Investigación y Análisis para América Latina en Kaspersky. “Lo más grave es que muchas soluciones de seguridad no bloquean estos mensajes, porque son legítimos. No se trata de un correo falso, sino de un uso malintencionado de un sistema verdadero. Por eso, más que nunca, la prevención y la educación son clave”, agregó.