La nueva estafa de Phishing que pone en riesgo las cuentas de Microsoft (y cómo proteger tu red)

El correo electrónico es el corazón de cualquier operación moderna, y los ciberdelincuentes lo saben. Recientemente, el FBI ha emitido una alerta internacional advirtiendo sobre una agresiva campaña de phishing diseñada específicamente para vulnerar cuentas de Microsoft (incluyendo plataformas corporativas como Microsoft 365). Si usas Outlook o servicios de Microsoft en tu trabajo, debes estar en alerta.

El gancho: «Tienes un problema de seguridad» La táctica documentada por el FBI destaca por su ironía. Los atacantes envían correos electrónicos que imitan a la perfección las alertas de seguridad oficiales de Microsoft. Los mensajes advierten a la víctima sobre un «intento de inicio de sesión inusual» o informan que «su contraseña está a punto de caducar».

Presa de la urgencia, el usuario hace clic en el enlace adjunto y es dirigido a una página web falsa que es una copia exacta del portal de inicio de sesión de Microsoft. Al ingresar su correo y contraseña, se los entrega directamente en bandeja de plata a los hackers.

Un riesgo crítico para instituciones y empresas En Chile, la adopción de estas plataformas es masiva. Desde pymes comerciales hasta entidades que gestionan diariamente altos volúmenes de documentos legales, matrices e inscripciones registrales, la dependencia de Microsoft 365 es total. Si un atacante logra acceder a una cuenta corporativa, no solo puede leer información altamente confidencial, sino que puede usar ese correo legítimo para enviar facturas falsas o infectar a otros miembros del equipo, un ataque conocido como BEC (Business Email Compromise).

El peligro de las cookies y cómo blindar tus cuentas Las bandas más sofisticadas ya no solo roban contraseñas; utilizan ataques «Adversary-in-the-Middle» (AiTM) para robar las cookies de sesión, lo que a veces les permite saltarse la verificación por SMS. Para proteger tu red, debes implementar estas tres reglas de oro:

1. Revisa siempre la URL (Dirección web): Antes de poner tu clave, mira la barra de direcciones. La página real de Microsoft siempre será login.microsoftonline.com o login.live.com. Si dice algo como microsoft-seguridad-alerta.com, es una estafa, por muy real que se vea el logo.
2. No uses SMS para la verificación en dos pasos (2FA): Cambia los códigos por SMS por una aplicación autenticadora (como Microsoft Authenticator o Google Authenticator). Son mucho más resistentes contra ataques de intercepción.
3. Firma digital y políticas de cero confianza: Enseña a tu equipo que el departamento de informática (o Microsoft) jamás pedirá validar credenciales a través de un enlace sorpresivo por correo. Si hay dudas, el empleado debe abrir el navegador, escribir la dirección manualmente y revisar su cuenta.

Conclusión: Los ciberataques han evolucionado. La advertencia del FBI nos recuerda que la primera y última línea de defensa en la ciberseguridad es el factor humano. Mantener a tu equipo capacitado y desconfiar de las «urgencias digitales» es la clave para que la información confidencial de tu empresa no caiga en las manos equivocadas.