En su octavo informe de la serie Cyberataques, Microsoft Incident Response —el equipo de Detección y Respuesta (DART)— investiga una reciente intrusión operada por humanos y centrada en la identidad, que dependió menos de la explotación de vulnerabilidades de software y más del engaño y herramientas legítimas. Después de que un cliente solicitara asistencia en noviembre de 2025, DART descubrió una campaña basada en el *phishing* de voz (vishing) persistente de Microsoft Teams, donde un actor de amenazas se hizo pasar por soporte técnico y se dirigió a varios empleados. Tras dos intentos fallidos, el actor de amenazas finalmente convenció a un tercer usuario para que concediera acceso remoto a través de Quick Assist, lo que permitió el compromiso inicial de un dispositivo corporativo.
Este caso destaca una clase creciente de ciberataques que explotan la confianza, las plataformas de colaboración y las herramientas integradas, y subraya por qué los defensores deben estar preparados para detectar y frustrar estas técnicas antes de que se agraven. Lea el informe completo para profundizar en esta violación de confianza por *vishing*.
¿Qué ocurrió?
Una vez que se estableció el acceso interactivo remoto, el actor de amenazas pasó de la ingeniería social al compromiso de teclado, dirigiendo al usuario a un sitio web malicioso bajo su control. La evidencia recopilada del historial del navegador y los artefactos de Quick Assist mostró que se le pidió al usuario que ingresara las credenciales corporativas en un formulario web falsificado, lo que luego inició la descarga de varios *payloads* maliciosos. Uno de los primeros artefactos, un paquete de instalación de Microsoft (MSI) disfrazado, utilizó mecanismos confiables de Windows para cargar de forma lateral una biblioteca de vínculos dinámicos (DLL) maliciosa y establecer un comando y control saliente, lo que permitió al actor de amenazas ejecutar código bajo la apariencia de software legítimo.
Los *payloads* posteriores ampliaron este punto de apoyo, introduciendo cargadores cifrados, ejecución remota de comandos a través de herramientas administrativas estándar y conectividad basada en proxy para oscurecer la actividad del actor de amenazas. Con el tiempo, los componentes adicionales permitieron la recopilación de credenciales y el secuestro de sesiones, lo que le dio al actor de amenazas un control interactivo sostenido dentro del entorno y la capacidad de operar utilizando técnicas diseñadas para mezclarse con la actividad empresarial normal en lugar de activar alarmas evidentes.
La confianza es el punto débil: los actores de amenazas explotan cada vez más la confianza, no solo las fallas de software, utilizando la ingeniería social dentro de las plataformas de colaboración para obtener acceso inicial.1
¿Cómo respondió Microsoft?
Dada la creciente tendencia de las intrusiones centradas en la identidad que comienzan con la ingeniería social basada en la colaboración, DART actuó rápidamente para contener el riesgo y validar el alcance. El equipo confirmó que el compromiso se originó en una interacción exitosa de *phishing* de voz de Microsoft Teams y priorizó inmediatamente las acciones para evitar el impacto a nivel de identidad o directorio. A través de una investigación enfocada, se estableció que la actividad fue breve y de alcance limitado, lo que permitió a los respondedores concentrarse en las herramientas y los puntos de entrada de la etapa inicial para comprender cómo se logró y restringió el acceso.
Para interrumpir la intrusión, DART llevó a cabo una expulsión dirigida y aplicó controles de contención tácticos para proteger los activos privilegiados y restringir el movimiento lateral. Utilizando herramientas forenses e investigativas patentadas, el equipo recopiló y analizó evidencia en los sistemas afectados, validó que los objetivos del actor de amenazas no se cumplieron y confirmó la ausencia de mecanismos de persistencia. Estas acciones permitieron una recuperación rápida al tiempo que ayudaron a garantizar que el entorno estuviera completamente seguro antes de declarar resuelto el incidente.
¿Qué pueden hacer los clientes para fortalecer sus defensas?
La naturaleza humana juega en nuestra contra en estos ciberataques. Los empleados están condicionados a ser receptivos, serviciales y colaborativos, especialmente cuando las solicitudes parecen provenir de los equipos internos de TI o soporte. Los actores de amenazas explotan ese instinto, utilizando el *phishing* de voz y las herramientas de colaboración para crear una sensación de urgencia y legitimidad que puede anular la precaución en el momento.
Para mitigar la exposición, DART recomienda que las organizaciones tomen medidas deliberadas para limitar cómo los ataques de ingeniería social pueden propagarse a través de Microsoft Teams y cómo se pueden utilizar indebidamente las herramientas de acceso remoto legítimas. Esto comienza con el fortalecimiento de la colaboración externa al restringir las comunicaciones entrantes de cuentas de Teams no administradas y la implementación de un modelo de lista blanca que permita el contacto solo desde dominios externos confiables. Al mismo tiempo, las organizaciones deben revisar su uso de herramientas de monitoreo y administración remota, inventariar lo que realmente se requiere y eliminar o deshabilitar las utilidades, como Quick Assist, donde no sean necesarias.
En conjunto, estas medidas ayudan a reducir la superficie de ataque, disminuir las oportunidades de compromiso impulsado por la identidad y dificultar que los actores de amenazas conviertan la confianza humana en acceso inicial, al tiempo que preservan la colaboración en la que los empleados confían para realizar su trabajo.
¿Qué es la serie Cyberataques?
En nuestra serie Cyberataques, los clientes descubren cómo DART investiga ataques únicos y notables. Para cada historia de ciberataque, compartimos:
- Cómo ocurrió el ciberataque.
- Cómo se descubrió la brecha.
- La investigación y expulsión del actor de amenazas por parte de Microsoft.
- Estrategias para evitar ciberataques similares.
DART está compuesto por investigadores, investigadores, ingenieros y analistas altamente capacitados que se especializan en el manejo de incidentes de seguridad globales. Estamos aquí para los clientes con expertos dedicados para trabajar con usted antes, durante y después de un incidente de ciberseguridad.
Más información
Para obtener más información sobre las capacidades de DART, visite nuestro sitio web o comuníquese con su administrador de cuenta de Microsoft o su contacto de Soporte Premier. Para obtener más información sobre los incidentes de ciberseguridad descritos anteriormente, incluidas más ideas e información sobre cómo proteger su propia organización, descargue el informe completo.
Para obtener más información sobre las soluciones de seguridad de Microsoft, visite nuestro sitio web. Marque el blog de seguridad para mantenerse al día con nuestra cobertura experta sobre temas de seguridad. También, síganos en LinkedIn (Microsoft Security) y X (@MSFTSecurity) para conocer las últimas noticias y actualizaciones sobre ciberseguridad.
1Microsoft Digital defence Report 2025.
