¿El chat laboral se ha convertido en una guarida del crimen? Microsoft Teams, nuevo frente en la ciberguerra

El mensajero Microsoft Teams, muy utilizado para la comunicación corporativa, se ha convertido en una plataforma conveniente para ciberataques. Según el equipo de Microsoft Threat Intelligence, los atacantes utilizan activamente esta plataforma para diversos fines: desde la recopilación de información y la ingeniería social hasta la entrega de código malicioso y el robo de datos.

Teams interesa tanto a grupos con motivación financiera como a atacantes que actúan en interés de estados. La vulnerabilidad de este entorno se debe a que puede explotarse en todas las fases de un ataque. Microsoft recomienda a los administradores reforzar la protección no solo a nivel de identidad y de puntos finales, sino también aplicar medidas estrictas a nivel de aplicaciones e infraestructura de red.

En la primera etapa los atacantes realizan reconocimiento, examinando cuentas, grupos y inquilinos mal protegidos. Con el modo de privacidad desactivado se puede obtener información sobre el estado de los usuarios e incluso intentar unirse a reuniones externas. Además, existen herramientas de código abierto que permiten filtrar y sistematizar la información recabada. En este contexto son especialmente vulnerables los participantes externos, los invitados y los usuarios anónimos.

En la fase de preparación pueden emplearse técnicas de ingeniería social. Los ciberdelincuentes crean cuentas falsas e imitan la identidad visual de empresas para hacerse pasar por el servicio de asistencia o por un administrador. A veces llegan a comprar inquilinos reales si el ataque promete ser rentable. Tanto los chats de texto como las llamadas se usan como canales de ataque, con relatos verosímiles y pretextos convincentes.

Es especialmente peligroso cuando a través de Teams se distribuye software malicioso capaz de robar credenciales y causar infecciones por programas de rescate. Una de las técnicas sigue siendo la suplantación del servicio técnico con la oferta de instalar herramientas de acceso remoto como AnyDesk. En algunos casos en el chat pueden aparecer enlaces que conducen a sitios maliciosos o a páginas de descarga falsas disfrazadas de Teams. También se emplean utilidades especializadas, por ejemplo TeamsPhisher o AADInternals, mediante las cuales el código malicioso se entrega directamente.

Algunos atacantes añaden cuentas de invitado, usan accesos directos en la carpeta de inicio o la función de teclas adhesivas para mantenerse en el sistema incluso después de detectada la intrusión. Los administradores siguen siendo objetivos especialmente atractivos, porque sus privilegios permiten usar herramientas avanzadas. Sin embargo, también se atacan usuarios habituales: basta con que abran un archivo infectado o hagan clic en un enlace.

Tras obtener acceso comienza la etapa de exfiltración. Los atacantes usan las herramientas obtenidas para interceptar tokens, eludir la autenticación de dos factores y analizar respuestas de API para entender la estructura del entorno de Teams y trazar rutas de avance en la red. Con información sobre roles, grupos y dispositivos, pueden pasar a la propagación lateral, incluso mediante interacción externa y usando cuentas comprometidas para hacerse pasar por empleados de otras empresas.

Algunos grupos recurrían al engaño, persuadiendo a las víctimas para que establecieran conexiones y proporcionaran acceso remoto. En ocasiones conseguían acceder a los almacenes de OneDrive o SharePoint para obtener datos vinculados a la cuenta comprometida.

También se han registrado casos en los que Teams se ha usado como canal de mando: se enviaban órdenes directamente a través de mensajes o datos incrustados. Se han dado situaciones en las que las exigencias de rescate se comunicaban directamente por el mensajero corporativo, como hacía el grupo Octo Tempest, que enviaba amenazas y mensajes burlones para aumentar la presión sobre las organizaciones afectadas.

Aunque Teams no es la única plataforma explotada de este modo, Microsoft subraya la necesidad de una protección integral, que incluya el refuerzo del control de acceso, el monitoreo de la actividad y la configuración de filtrado de contenido.