Google alerta sobre un sofisticado ataque cibernético que aprovecha Microsoft Teams para distribuir malware
Un grupo de ciberdelincuentes identificado como UNC6692 ha logrado infiltrarse en redes corporativas mediante una campaña de ingeniería social altamente elaborada, utilizando Microsoft Teams como vector de ataque. Según un informe del Google Threat Intelligence Group (GTIG), este grupo empleó tácticas de suplantación de identidad para engañar a empleados y desplegar un malware personalizado conocido como SNOW.
El ataque, detectado a finales de diciembre de 2025, comenzó con una campaña masiva de correos electrónicos diseñada para saturar los buzones de las víctimas, generando una sensación de urgencia. Posteriormente, los atacantes se hicieron pasar por personal del soporte técnico de TI a través de Microsoft Teams, ofreciendo ayuda para resolver el problema de los correos no deseados.
Cadena de infección: cómo se propagó el malware
La víctima recibía un mensaje en Microsoft Teams con un enlace que supuestamente llevaba a una «solución» para el problema de los correos. Al hacer clic, se abría una página HTML que descargaba un archivo desde un bucket de AWS S3 controlado por los atacantes. Este archivo contenía un binario de AutoHotKey renombrado y un script malicioso, ambos con el mismo nombre, lo que facilitaba la ejecución del malware sin levantar sospechas.
Una vez instalado, el malware SNOW permitía a los atacantes moverse lateralmente dentro de la red de la víctima, accediendo a información sensible y manteniendo persistencia en el sistema. Según los investigadores, esta campaña destaca por su uso combinado de ingeniería social, extensiones maliciosas para navegadores y herramientas legítimas de software empresarial, explotando la confianza de los usuarios en plataformas como Microsoft Teams.
Microsoft Teams: un blanco cada vez más frecuente
Este no es un caso aislado. En los últimos meses, se ha observado un aumento en los ataques que aprovechan Microsoft Teams para suplantar a departamentos de soporte técnico. Según un informe de BleepingComputer, los ciberdelincuentes están utilizando cuentas externas a las organizaciones para enviar mensajes fraudulentos, lo que dificulta su detección por parte de los sistemas de seguridad tradicionales.
La técnica de suplantación de identidad (spoofing) en Teams se ha vuelto especialmente efectiva debido a que muchos empleados no verifican la autenticidad de los remitentes, especialmente cuando el mensaje parece provenir de un canal oficial como el soporte de TI. Esto subraya la necesidad de capacitar a los usuarios en ciberseguridad y reforzar los protocolos de autenticación en herramientas de comunicación empresarial.
Recomendaciones para protegerse
- Verificar siempre la identidad del remitente: Antes de hacer clic en enlaces o descargar archivos, confirmar que el mensaje proviene de una fuente legítima dentro de la organización.
- No instalar software desde fuentes no verificadas: Los equipos de TI nunca solicitarán la instalación de parches o actualizaciones a través de enlaces externos.
- Implementar autenticación multifactor (MFA): Añadir una capa adicional de seguridad para acceder a herramientas como Microsoft Teams.
- Mantener actualizados los sistemas de detección de amenazas: Utilizar soluciones de ciberseguridad que puedan identificar comportamientos sospechosos en tiempo real.
El informe de Google Threat Intelligence subraya que los ataques de ingeniería social siguen siendo una de las mayores amenazas para la seguridad corporativa. En un entorno donde los ciberdelincuentes refinan constantemente sus técnicas, la concienciación y la prevención son clave para evitar comprometer datos sensibles.
Para más detalles técnicos sobre el malware SNOW y la metodología de UNC6692, puedes consultar el informe completo de Google.
