💀 El cibercrimen se sigue profesionalizando.
La campaña de phishing del "código de conducta": lo que los MSP deben saber ahora mismo.
¿Por qué es esto importante?
Esta campaña de phishing fue una operación en varias etapas que incluyó:
- Comunicaciones internas de recursos humanos y cumplimiento normativo falsas o suplantadas
- Técnicas de adversario en el medio (AiTM) para burlar la autenticación multifactor (MFA) en tiempo real.
- Múltiples puertas CAPTCHA y páginas de preparación diseñadas para eludir el análisis de seguridad automatizado.
- Ninguna de estas técnicas es nueva. Su importancia radica en la forma impecable en que se han combinado y aplicado a gran escala.
- No se requiere botnet
Una de las cosas más importantes que hay que entender sobre esta campaña es que no depende de dispositivos comprometidos ni de una botnet tradicional para distribuir su carga útil. Todo el kit de phishing de AiTM se implementa a través de servicios comerciales comunes:
- Kit de phishing: Los operadores alquilan acceso a un kit de phishing como servicio (PhaaS) de AiTM, similar al recientemente interrumpido Tycoon 2FA . Estos kits incluyen páginas preconfiguradas para la obtención de credenciales, verificación CAPTCHA, interceptación de tokens de sesión y paneles de monitoreo de víctimas en tiempo real. Los precios comienzan desde tan solo $120 por 10 días de acceso .
- Máquinas virtuales alojadas en la nube: en lugar de utilizar máquinas comprometidas, es probable que la infraestructura de la campaña estuviera alojada en máquinas virtuales comerciales en la nube, disponibles para el público.
Servicios comerciales de envío de correo electrónico: Los correos de la campaña se enviaron a través de una plataforma estándar de envío de correo electrónico, superando las comprobaciones SPF, DKIM y DMARC que normalmente detectarían correos sospechosos. Estos mensajes no parecían ataques de phishing porque estaban formateados correctamente y se enviaron desde dominios que los atacantes habían registrado y configurado correctamente.
Dominios controlados por atacantes que imitan marcas de confianza: Los investigadores observaron páginas de destino detrás de dominios como `acceptable-use-policy-calendly[.]de` y `compliance-protectionoutlook[.]de`. Estos dominios están diseñados para parecer, a simple vista, servicios de marcas ampliamente conocidas.
¿Cómo funciona el ataque?
Esta campaña sigue un modelo de phishing AiTM bien establecido, que combina kits de phishing disponibles comercialmente, infraestructura en la nube legítima y señuelos psicológicamente efectivos para robar credenciales y tokens de sesión en tiempo real.
Adquisición de herramientas y desarrollo de infraestructura: El atacante adquiere acceso a un kit PhaaS que proporciona páginas preconfiguradas para la obtención de credenciales, control CAPTCHA e interceptación de sesiones AiTM. El kit puede ofrecer dominios, o bien el atacante puede adquirirlos por separado. Se configura un servicio de envío de correo electrónico en una máquina virtual Windows alquilada. Este servicio se utiliza para enviar mensajes autenticados desde los dominios de phishing. Esta parte del ataque dura unas pocas horas y cuesta solo unos cientos de dólares.
Método de entrega: El atacante envía correos electrónicos de phishing a las víctimas utilizando nombres para mostrar como "Internal Regulatory COC" y "Workforce Communications", con líneas de asunto como "Registro de caso interno emitido bajo la política de conducta" y "Recordatorio: el empleador abrió un registro de caso de incumplimiento".
El señuelo: Cada correo electrónico incluye un archivo PDF adjunto con un nombre como "Archivo de registro del caso de concientización - Martes 14 de abril de 2026.pdf" o "Acción disciplinaria - Caso de manejo de dispositivos por parte del empleado.pdf". El PDF proporciona un resumen ficticio de un proceso de revisión de conducta e indica al destinatario que haga clic en un enlace "Revisar materiales del caso" para acceder a la documentación de respaldo.
Este enlace "Revisar materiales del caso" es el punto de entrada al proceso de recopilación de credenciales.
Primer paso CAPTCHA: Al hacer clic en el enlace "Revisar materiales del caso", el usuario es redirigido a una página de destino controlada por el atacante que muestra un CAPTCHA de Cloudflare. El CAPTCHA se presenta como una validación de que el usuario proviene de "una sesión válida", pero tiene dos propósitos maliciosos:
- Refuerza la apariencia de un proceso de seguridad genuino.
- Bloquea las herramientas de seguridad automatizadas y los entornos de pruebas, impidiendo que analicen lo que sucede a continuación.
- Configuración: Tras completar el CAPTCHA, el usuario es redirigido a una página intermedia que le informa que la documentación solicitada está cifrada y requiere autenticación de cuenta para acceder. La página muestra un botón de "Revisar y firmar" y solicita al usuario que ingrese su dirección de correo electrónico.
Segundo CAPTCHA: Tras introducir su dirección de correo electrónico, el usuario se enfrenta a un segundo CAPTCHA, esta vez un desafío de selección de imágenes. Este segundo filtro sirve para evitar el análisis automatizado.
Genera confianza: Una vez completado el segundo CAPTCHA, el usuario ve un mensaje de confirmación que indica que la verificación fue exitosa y que se están preparando los materiales de su caso. A continuación, se le pide que inicie sesión con su cuenta de Microsoft en un plazo de cinco minutos o el enlace caducará. La cuenta regresiva crea urgencia y evita que el usuario se detenga a cuestionar el proceso.
Captura de credenciales y token: El usuario hace clic en el botón "Iniciar sesión con Microsoft", lo que inicia la sesión AiTM. Esto permite al atacante interponer su servidor entre la víctima y el servidor de Microsoft. Ahora, el usuario solo ve las páginas controladas por el atacante. Si el usuario introduce sus credenciales y completa el desafío de autenticación multifactor (MFA) como de costumbre, el atacante interceptará el token de sesión en el momento de su emisión. De esta forma, el atacante obtiene acceso autenticado a la cuenta de la víctima y a los servicios autorizados.
Esta campaña es una operación de precisión basada en servicios comerciales y herramientas delictivas comunes, a la que se puede acceder con unos pocos cientos de dólares y una cuenta de Telegram. La infraestructura es desechable, reemplazable y difícil de distinguir del tráfico de correo electrónico empresarial habitual a nivel de red.
¿Por qué esto es un phishing de alto riesgo?
Esta campaña es más peligrosa que el phishing tradicional impulsado por botnets porque depende casi por completo de una infraestructura comercial configurada correctamente y evita muchas de las señales técnicas que los controles de seguridad están diseñados para detectar:
- Infraestructura: Utilizar servicios estándar de entrega de correo electrónico empresarial en lugar de servidores comprometidos.
- Dominios: debidamente autenticados con alineación SPF, DKIM y DMARC válida.
- Infraestructura: Phishing alojada en la nube sin historial previo de abuso.
La realidad de la fragmentación operativa
La fragmentación nos obliga a vivir en un ciclo de reacción constante. Cuando los datos de red, identidad y endpoint no están correlacionados en una sola plataforma, ocurren tres problemas críticos:
- Fatiga por alertas: El equipo de TI pierde horas filtrando ruido en lugar de investigar amenazas reales.
- El "Juego del Teléfono" técnico: Intentar reconstruir una historia de ataque uniendo logs de consolas distintas es ineficiente y propenso al error humano.
- Respuesta Tardía: En ciberseguridad, el tiempo es el activo más caro. La fragmentación garantiza que la respuesta siempre llegue minutos (o horas) después de que la brecha ya fue explotada.
- Botnets: No dependemos de rangos de IP de botnets conocidos ni de redes que hayan sido utilizadas indebidamente con anterioridad.
- Entrega: Administración dirigida de bajo volumen que evita patrones de ráfaga o de rociado indiscriminado.
- Encabezados: SMTP limpios y rutas de enrutamiento de correo estándar.
- Botnets: No se observa el rápido cambio de direcciones IP o dominios comúnmente asociado con las operaciones de botnet.
- Contenido e interacción: Elementos de señuelo contextuales vinculados a las políticas corporativas y los flujos de trabajo de cumplimiento.
- Redireccionamiento: Cadenas de redireccionamiento de varios pasos diseñadas para frustrar el análisis automatizado.
- Proxies: Proxies de intermediario que operan en línea con los flujos de autenticación genuinos de Microsoft en lugar de páginas estáticas de captura de credenciales.
Estas características contrastan marcadamente con las campañas de phishing impulsadas por botnets. En este caso, las señales útiles, como los indicadores basados en la reputación, las rutas de entrega mal formadas y las plantillas de phishing reutilizadas, están prácticamente ausentes.
Elevando la defensa: El rol de Barracuda XDR
Barracuda XDR no viene a sumar otra herramienta al stack; viene a orquestar las que ya tienes. Su valor no es la visibilidad por sí misma, sino la capacidad de respuesta automatizada basada en contexto:
- Protección fuera de la oficina: Al integrar la telemetría del endpoint con la inteligencia de red y correo, Barracuda XDR mantiene la cobertura de seguridad sin importar dónde esté el dispositivo.
- Correlación Inteligente: La plataforma entiende que un inicio de sesión inusual en un sistema remoto (Identidad) está conectado con un intento de phishing recibido 10 minutos antes (Correo).
- SOC como Extensión: Barracuda XDR actúa como un centro de operaciones, eliminando la carga de gestión manual y permitiendo que tu equipo técnico se concentre en la estrategia, no solo en "apagar incendios".
Conclusiones específicas para los MSP
Los proveedores de servicios gestionados operan en la intersección de la identidad, el acceso y la escalabilidad. Un único ataque de phishing AiTM exitoso puede proporcionar a los atacantes acceso a múltiples entornos de clientes mediante administración delegada, herramientas compartidas o cuentas de servicio con privilegios elevados. Los siguientes pasos destacan cómo los MSP pueden protegerse mejor a sí mismos y a sus clientes de ataques en los que los controles y supuestos tradicionales pueden resultar insuficientes.
Audite las implementaciones de MFA de sus clientes. Los códigos SMS, las contraseñas de un solo uso (OTP) de las aplicaciones de autenticación y la MFA basada en notificaciones push son vulnerables al secuestro de sesiones AiTM. Las políticas de acceso condicional que evalúan el cumplimiento del dispositivo, la ubicación IP y el riesgo de inicio de sesión pueden reducir la exposición a corto plazo, pero la solución definitiva es la autenticación resistente al phishing. Comience a planificar las migraciones a claves de seguridad FIDO2 o autenticación basada en claves de acceso para las cuentas privilegiadas, y luego extiéndalas a la base de usuarios general.
Consideremos los eventos de fragmentación de PhaaS como una aceleración del riesgo, no una reducción. La eliminación de la autenticación de dos factores de Tycoon no disminuyó la amenaza, sino que la distribuyó. Ahora, múltiples kits con capacidades superpuestas compiten por la cuota de mercado de los operadores. Esto implica más operadores, más campañas, mayor variación de técnicas y una infraestructura menos predecible. La detección basada en firmas quedará aún más rezagada.
Revise las soluciones de seguridad de correo electrónico para detectar posibles fallos de detección específicos de AiTM. ¿Puede su solución de seguridad detectar cuándo se utiliza un servicio de correo electrónico legítimo para enviar phishing desde dominios controlados por el atacante y debidamente autenticados? ¿Puede inspeccionar los archivos PDF en busca de enlaces incrustados? ¿Puede evaluar las cadenas de redireccionamiento posteriores al clic mediante CAPTCHA? Si la respuesta a cualquiera de estas preguntas es no, existe una vulnerabilidad que esta campaña podría aprovechar.
Prepare a sus clientes para la trampa del "código de conducta". Asegúrese de que capaciten a sus empleados para que verifiquen los mensajes inesperados de recursos humanos o cumplimiento normativo a través de un canal independiente antes de hacer clic en cualquier cosa.
Supervise activamente las señales posteriores a una intrusión. No espere a que se detecte un correo electrónico de phishing. Monitoree las propiedades de inicio de sesión anómalas, los viajes imposibles y otras actividades inusuales. Los ataques AiTM son rápidos: el lapso entre el secuestro de sesión y el daño causado por el ataque puede medirse en minutos, no en horas.
Comunica a tus clientes la brecha en la autenticación multifactor (MFA). Muchos clientes aún creen que la MFA los protege del phishing. Esta campaña es un ejemplo concreto y bien documentado que demuestra lo contrario. Úsala para iniciar la conversación sobre la autenticación resistente al phishing, el acceso condicional y la protección de identidad por capas.
Para los proveedores de servicios gestionados (MSP), campañas como el Código de Conducta ponen de manifiesto un cambio de enfoque: de la prevención a la resiliencia. Cuando el phishing se integra en la infraestructura y los flujos de autenticación habituales, la cuestión ya no es si se puede detener cada ataque, sino cuánto daño se produce cuando uno logra infiltrarse. Limitar el alcance del ataque mediante la delimitación de identidades, la restricción de privilegios y una respuesta rápida se convierte en la medida clave de la eficacia de la seguridad. La resiliencia depende de contener el impacto de un ataque antes de que un único usuario comprometido se convierta en un incidente que afecte a múltiples usuarios.
