Robo de credenciales en Microsoft 365: Así explotan los ciberdelincuentes los servicios de enmascaramiento de enlaces

Una nueva ola de ataques de phishing sofisticados está afectando a usuarios de Microsoft 365 en todo el mundo, aprovechando servicios legítimos de enmascaramiento de enlaces para eludir las medidas tradicionales de seguridad en el correo electrónico. Investigadores de seguridad han identificado una tendencia alarmante donde los ciberdelincuentes abusan de funciones de seguridad confiables para robar credenciales corporativas con una eficiencia preocupante.

La metodología del ataque implica ocultar URLs maliciosas dentro de enlaces aparentemente legítimos de servicios confiables como Cloudflare. Estos enlaces enmascarados se insertan luego en correos electrónicos de phishing que parecen provenir de fuentes confiables. Cuando los usuarios hacen clic en los enlaces, son redirigidos a través de múltiples dominios legítimos antes de llegar a páginas de inicio de sesión falsas de Microsoft 365 controladas por los atacantes.

Lo que hace especialmente peligrosos estos ataques es su capacidad para evadir los filtros de seguridad de correo electrónico estándar. El enlace inicial parece limpio, ya que proviene de un servicio reputado. Solo después del clic comienza la cadena de redireccionamiento, haciendo ineficaz el escaneo tradicional de URLs. Cloudflare ha reconocido el problema, señalando que aunque sus servicios no están comprometidos, están siendo abusados por actores maliciosos.

Los equipos de seguridad recomiendan varias estrategias de mitigación:

Microsoft ha publicado guías actualizadas para administradores, sugiriendo controles más estrictos en el manejo de enlaces en correos electrónicos y mayor monitoreo de patrones de autenticación anómalos. Estos ataques resaltan el constante juego del gato y el ratón entre profesionales de seguridad y ciberdelincuentes, donde cada nueva medida protectora eventualmente se convierte en un posible vector de ataque.