«Su contraseña va a expirar» (aunque en realidad no): Microsoft explica por qué no hay que fiarse ni de los correos del propio departamento de Recursos Humanos
Ciberdelincuentes camuflan correos de phishing como mensajes internos de la empresa y hacen que los empleados bajen la guardia.
A veces el correo de phishing más peligroso parece haber sido enviado por un colega del despacho contiguo. Precisamente en eso están apostando los atacantes que han aprendido a eludir la protección en algunas configuraciones del correo de Microsoft 365 y a enviar mensajes que parecen internos, en nombre del propio dominio de la organización.
По según Microsoft Threat Intelligence, los atacantes aprovechan situaciones de enrutamiento complejo y una protección contra la suplantación débil. Ese escenario aparece cuando el registro MX del dominio no apunta directamente a Microsoft 365, sino que pasa primero, por ejemplo, por un Exchange local o por un servicio externo y solo entonces los mensajes llegan a la nube. En la brecha resultante, las comprobaciones de suplantación pueden ser laxas, y los phishers se aprovechan de ello: envían correos con una dirección falsa que coincide con el dominio de la víctima, y el destinatario ve el mensaje como si proviniera del interior de la empresa, a veces incluso con las mismas direcciones en los campos Para y De.
Microsoft observa un aumento del uso de esta táctica desde mayo de 2025 en campañas oportunistas contra organizaciones de distintos sectores. Con mayor frecuencia, esos envíos conducen a páginas de robo de credenciales y están relacionados con plataformas phishing-as-a-service (PhaaS), en primer lugar con el conjunto Tycoon 2FA. En octubre de 2025 Microsoft bloqueó más de 13 millones de correos maliciosos relacionados con Tycoon 2FA. Las plataformas PhaaS facilitan la labor a los delincuentes: ofrecen plantillas listas, infraestructura e instrumentos para capturar credenciales, incluidos esquemas adversario en el medio (AitM) que ayudan a eludir la autenticación multifactor.
Los señuelos de esos correos son muy "oficinistas" y verosímiles: mensajes de voz, "documentos compartidos", notificaciones de recursos humanos, restablecimiento de contraseña o aviso de su próxima expiración. Microsoft describe por separado escenarios financieros en los que correos falsos empujan a empleados a pagar facturas ficticias. El mensaje puede presentarse como continuación de una conversación con «director general», «contabilidad» o «contratista», y la confianza se refuerza con adjuntos: una factura falsa por un importe elevado, el formulario W-9 con los datos de la persona a cuyo nombre está la factura, y un correo falso "del banco" supuestamente confirmando los datos bancarios.
Las consecuencias son típicas de un phishing "exitoso", pero no por ello menos dolorosas: fuga de credenciales, posterior compromiso del correo y de los documentos, y luego compromiso empresarial de correspondencia (BEC) con pérdidas monetarias reales. Microsoft subraya un detalle importante: si el registro MX del dominio apunta directamente a Office 365, este esquema de suplantación mediante enrutamiento complejo no funciona.
Como medidas de defensa, Microsoft recomienda reforzar las configuraciones básicas de autenticación de correo y de enrutamiento: activar políticas DMARC estrictas con el modo rechazar, configurar Sender Policy Framework (SPF) con rechazo estricto (hard fail), revisar cuidadosamente los conectores para servicios de terceros como antispam o archivado y, si la función Direct Send no es necesaria, desactivarla para bloquear correos que suplantan los dominios de la organización.
Tu privacidad está muriendo lentamente, pero nosotros podemos salvarla