Microsoft advierte sobre ataques de phishing AitM multietapa y BEC dirigidos al sector energético

Por: Fecha de publicación:


Microsoft ha emitido una advertencia importante sobre una campaña de phishing de múltiples etapas conocida como Adversary-in-the-Middle (AitM) y ataques de compromiso de correo empresarial (BEC, por sus siglas en inglés) que ha estado dirigida a organizaciones del sector energético y otras entidades corporativas. Estos ataques combinan técnicas avanzadas para robar credenciales, evadir defensas y mantener el acceso oculto a cuentas corporativas comprometidas. 

¿Qué es un ataque AitM y por qué es diferente?

Un ataque Adversary-in-the-Middle (AitM) es un tipo de phishing evolucionado donde los atacantes no solo capturan credenciales, sino que interceptan y controlan el flujo de autenticación entre el usuario y el servicio legítimo, permitiéndoles robar tanto el nombre de usuario y contraseña como tokens de sesión o respuestas de MFA (autenticación multifactor) en tiempo real. Esto significa que incluso con MFA habilitado, la autenticación puede ser capturada y reutilizada por el atacante. 

En este ataque específico, los adversarios comenzaron con un mensaje de phishing tradicional, pero rápidamente pasaron a técnicas más complejas de intermediario para capturar credenciales y asegurar persistencia en las cuentas comprometidas.

Cómo se desarrolla la campaña

1. Inicio con phishing desde una cuenta confiable

La campaña comienza con un correo de phishing que aparenta provenir de una organización de confianza, ya que el remitente original ha sido comprometido previamente. Usando esta dirección legítima, los atacantes envían mensajes que incluyen supuestos enlaces a documentos alojados en servicios confiables como SharePoint o OneDrive.

2. Abuso de servicios legítimos (LOTS)

Los enlaces llevan a páginas falsas que imitan los portales de acceso legítimos. Al abusar de servicios de uso común —un enfoque conocido como living-off-trusted-sites (LOTS)— los atacantes aprovechan la confianza en plataformas como SharePoint para esquivar filtros y mecanismos de seguridad en correo electrónico.

3. Captura de credenciales y sesión

Una vez que la víctima ingresa sus credenciales en la página de phishing, los atacantes capturan la información y también el token de sesión activo, lo que les permite acceder inmediatamente a la cuenta sin necesidad de introducir de nuevo la contraseña o MFA.

4. Persistencia mediante reglas de bandeja de entrada

Tras el acceso inicial, el atacante crea reglas en la bandeja de entrada de la víctima para:

  • borrar correos entrantes que puedan alertar al usuario,

  • marcar mensajes como leídos para ocultar evidencias,

  • borrar mensajes de respuesta automática y otros registros.

Esto permite que el compromiso sea silencioso e invisible para el usuario, facilitando la continuación del ataque sin despertar sospechas. 

Fase de Business Email Compromise (BEC)

Una vez que los atacantes consolidan el acceso, utilizan la cuenta comprometida para lanzar una campaña BEC —es decir, enviar correos dirigidos a contactos internos y externos con enlaces o instrucciones maliciosas— con el objetivo de robar más credenciales, escalar privilegios o iniciar fraudes financieros. 

En un caso documentado, se enviaron más de 600 mensajes de phishing desde la cuenta comprometida a contactos de la organización, lo que ilustra la rapidez y alcance con que puede propagarse esta técnica una vez establecida. 

Por qué estos ataques son tan peligrosos

Evasión de MFA

Los ataques AitM pueden capturar MFA —por ejemplo, códigos o aprobaciones push— y capturar tokens de sesión sin alertar al usuario, lo que permite que los atacantes entren en las cuentas como si fueran usuarios legítimos. 

Confianza en plataformas legítimas

Al usar dominios de servicios legítimos como SharePoint o OneDrive, los enlaces de phishing parecen confiables y tienden a eludir soluciones de seguridad basadas en listas negras o detección tradicional. 

Persistencia silenciosa

Modificar reglas de la bandeja de entrada para ocultar correos y eliminar trazos permite que los ataques continúen sin alertar al usuario afectado. 

Cómo defenderse de ataques AitM y BEC

Microsoft recomienda varias medidas defensivas para organizaciones, entre ellas:

1. Autenticación resistente al phishing

Implementar métodos de autenticación que sean resistentes a este tipo de técnicas, como llaves de seguridad FIDO2 o passkeys, que no pueden ser fácilmente capturadas y reutilizadas por intermediarios. 

2. Evaluación continua de acceso

Habilitar políticas condicionales que revisen de forma continua el acceso y detecten anomalías, como inicios desde ubicaciones inusuales o dispositivos no reconocidos.

3. Soluciones anti-phishing avanzadas

Implementar soluciones que monitoreen y escaneen activamente los correos entrantes y los enlaces visitados por los usuarios para identificar patrones sospechosos.

4. Auditoría de reglas en bandeja de entrada

Monitorear y alertar sobre la creación de reglas inusuales en las cuentas de correo, ya que este puede ser un indicador temprano de compromiso persistente. 

El ataque AitM multietapa y la actividad de BEC reportados por Microsoft demuestran cómo los actores maliciosos han evolucionado las técnicas de phishing para evadir controles comunes, abusar de servicios legítimos y mantener acceso silencioso a cuentas empresariales. 

Este tipo de campañas subraya la importancia de combinar autenticación resistente, monitoreo continuo y educación del usuario para minimizar el riesgo de que credenciales y sesiones sean capturadas y reutilizadas por atacantes. 

🏷️ Fuente de la información

Este artículo se basa en el reporte original publicado por The Hacker News:

Disponible en: https://thehackernews.com/2026/01/microsoft-flags-multi-stage-aitm.html


Comentarios

Publicar un comentario

Entradas más populares de este blog

🛡️ Nueva vulnerabilidad crítica en Windows SMB Client puede exponer entornos empresariales completos (CVE-2025-33073)

Por: Fecha de publicación:
Imagen
El 19 de enero de 2026 , se publicó un reporte técnico que revela una vulnerabilidad de seguridad grave en el cliente SMB de Windows que afecta entornos corporativos y redes con Active Directory. Esta falla está catalogada como CVE-2025-33073 y permite a atacantes escalar privilegios y comprometer infraestructuras completas si no se han aplicado las actualizaciones recomendadas por Microsoft.  📌 ¿Qué es SMB y por qué importa? SMB ( Server Message Block ) es un protocolo de red ampliamente usado en sistemas Windows para compartir archivos, impresoras y autenticación entre máquinas. El cliente SMB es la parte del sistema operativo que inicia conexiones a recursos remotos. Este componente también participa en el proceso de autenticación con servicios centrales como Active Directory (AD) , que es el corazón de la gestión de usuarios, permisos y seguridad en casi todas las redes empresariales basadas en Windows.  🔍 ¿En qué consiste esta vulnerabilidad? La falla reside en un mec...
Leer más

Raaga Data Breach: Más de 10 millones de cuentas expuestas en la Dark Web

Por: Fecha de publicación:
Imagen
En diciembre de 2025 se detectó una filtración de datos masiva que afectó a la plataforma Raaga , un popular servicio de streaming de música con base en India . Según reportes de seguridad, el incidente comprometió información personal de más de 10.2 millones de usuarios , y parte de esa base de datos fue publicada para su venta en foros de hacking de la Dark Web . ¿Qué datos se vieron comprometidos? Los datos filtrados incluían información muy sensible de los usuarios, entre ellos: Nombres completos Direcciones de correo electrónico Género y edad (incluidas fechas parciales de nacimiento) Ubicación geográfica y códigos postales Contraseñas almacenadas como hashes MD5 sin “salt” Este último punto es especialmente grave: MD5 sin sal es un algoritmo de hashing obsoleto y muy débil que puede ser descifrado rápidamente con hardware moderno o técnicas automatizadas. Esto permite a los atacantes reconstruir las contraseñas en texto claro con relativa facilidad.  ¿Cómo pudo ...
Leer más

¿La IA aumenta nuestra velocidad en cuanto a productividad?

Por: Fecha de publicación:
Imagen
  Un estudio experimental de Model Evaluation and Transparency Research (METR) midió cómo afecta el uso de herramientas de IA (por ejemplo, asistentes de código como Cursor Pro con modelos como Claude 3.5/3.7 ) a desarrolladores con experiencia trabajando en repositorios de código abierto que conocían bien Los desarrolladores experimentados tardaron un 19% más de tiempo en completar tareas cuando usaron IA comparado con cuando no la usaron. Y antes de usarla, se esperaba que la IA acelerara su trabajo hasta ~24% , y después seguían creyendo que estaban más rápidos (~20%) , aunque los datos mostraban lo contrario.  Esto tiene sus motivos, un uso imperfecto de las herramientas(prompts demasiado simples), familiaridad aún limitada con las interfaces de la IA, estándares de calidad muy altos en el proyecto exigido, insuficiente cobertura de casos complejos por parte de los modelos de IA, distraerse explorando resultados de la IA en vez de avanzar a lo propuesto, en resumidas pal...
Leer más