Un grupo de ciberdelincuentes ha comenzado a suplantar la identidad de trabajadores de soporte técnico de Microsoft Teams para engañar a las víctimas e instalar malware que roba datos corporativos. Según un informe publicado el lunes 27 de abril por The Record, la campaña combina técnicas de inundación de correos electrónicos, phishing y extensiones maliciosas de navegador para comprometer sistemas empresariales.
La operación es atribuida al grupo de amenazas UNC6692, según hallazgos de Mandiant, la compañía de ciberseguridad propiedad de Google. Los atacantes se hacen pasar por empleados del departamento de TI y convencen a las víctimas de aceptar una invitación de chat en Microsoft Teams desde una cuenta externa a su organización.
Cómo funciona el ataque de suplantación de identidad en Teams
El proceso comienza con una oleada masiva de correos electrónicos diseñados para saturar la bandeja de entrada del objetivo. Una vez que la víctima se encuentra abrumada por el flujo de mensajes, el atacante establece contacto a través de Microsoft Teams utilizando una cuenta externa.
El ciberdelincuente se presenta como un trabajador de soporte técnico y ofrece ayuda para resolver la supuesta interrupción del correo electrónico. “Como ocurre con muchas otras intrusiones en años recientes, UNC6692 dependió en gran medida de suplantar a empleados del servicio de asistencia de TI”, indicó Mandiant en su blog oficial.
El hacker instruye a la víctima para que instale lo que aparenta ser un “parche” destinado a detener el spam. Sin embargo, se trata en realidad de una puerta de entrada para instalar una extensión maliciosa de navegador llamada SnowBelt.
La extensión maliciosa SnowBelt amplifica el riesgo de seguridad
Según Mandiant, SnowBelt proporciona a los atacantes una puerta trasera para mantener el acceso a cuentas corporativas y moverse dentro de los sistemas sin necesidad de autenticarse repetidamente. Esta táctica representa una evolución significativa en los métodos de ingeniería social utilizados por grupos cibercriminales.
La compañía de ciberseguridad señaló que “la campaña de UNC6692 demuestra una evolución interesante en las tácticas, particularmente el uso de ingeniería social, malware personalizado y una extensión maliciosa de navegador, aprovechándose de la confianza inherente de la víctima en varios proveedores diferentes de software empresarial”.
Tendencia creciente: los hackers inician sesión en lugar de forzar la entrada
Estos ataques forman parte de una tendencia más amplia en la que los ciberdelincuentes “inician sesión” en lugar de “irrumpir” en los sistemas. Los actores maliciosos, desde grupos patrocinados por estados hasta sindicatos industrializados de ransomware, están convergiendo en la misma verdad estratégica: el camino más corto hacia un objetivo a menudo es a través de las relaciones digitales que ayudan al objetivo a funcionar.
El punto crítico de la ciberseguridad empresarial ya no es el portátil de la compañía o el centro de datos. En cambio, es la capa de software como servicio entre los empleados y los sistemas más importantes. Estas vulnerabilidades han pasado de ser canales secundarios al terreno principal de ataque.
Este cambio se ha evidenciado en algunas de las operaciones criminales más consecuentes del año, según reportes recientes. Entre ellas se incluyen la exposición de la bandeja de entrada personal del director del FBI, una violación en Mercor —un proveedor de datos de inteligencia artificial para OpenAI, Anthropic y Meta— y una amplia ola de extorsión centrada en Salesforce vinculada a las capacidades combinadas de múltiples grupos de hackers.
Las autoridades de ciberseguridad y las empresas tecnológicas continúan monitoreando la actividad de UNC6692 y grupos similares. Los expertos recomiendan a las organizaciones reforzar los protocolos de autenticación multifactor y educar a los empleados sobre las técnicas de ingeniería social, especialmente aquellas que involucran solicitudes de soporte técnico no verificadas a través de plataformas de comunicación empresarial.