Durante años, el correo electrónico fue el principal canal utilizado por los ciberdelincuentes para ejecutar campañas de phishing. Sin embargo, el incremento del trabajo híbrido y la adopción masiva de plataformas de colaboración como Microsoft Teams han provocado un cambio significativo en las tácticas de los atacantes. Actualmente, Teams se ha convertido en uno de los vectores de ataque con mayor crecimiento para campañas de ingeniería social y suplantación de identidad.
Diversos investigadores y el propio Microsoft han advertido sobre un aumento en ataques donde los actores maliciosos se hacen pasar por personal de TI, ejecutivos, proveedores o colaboradores externos para engañar a los usuarios y obtener acceso a sistemas corporativos, credenciales o información sensible.
¿Por qué Teams se ha convertido en un objetivo atractivo?
Los atacantes aprovechan una característica legítima de Teams: la capacidad de comunicarse con usuarios externos a la organización. Esta funcionalidad, diseñada para facilitar la colaboración empresarial, permite que actores externos inicien conversaciones con empleados internos, abriendo la puerta a ataques de suplantación de identidad.
A diferencia del correo electrónico, los usuarios suelen percibir los mensajes de Teams como más confiables e inmediatos, reduciendo su nivel de sospecha. Además, la naturaleza informal y rápida de la plataforma favorece respuestas impulsivas ante solicitudes aparentemente legítimas.
Ejemplo de mensaje malicioso.
Cómo funcionan los ataques de suplantación en Teams
La técnica más común observada recientemente consiste en que el atacante crea una cuenta externa de Microsoft 365 y configura el nombre visible para que coincida con el de un empleado legítimo, un directivo o un miembro del área de soporte técnico. Posteriormente inicia una conversación con la víctima utilizando Teams.
Entre los escenarios más frecuentes destacan:
- Suplantación de personal de TI o Help Desk.
- Suplantación de directivos o gerentes.
- Solicitudes urgentes para revisar problemas de seguridad.
- Peticiones para instalar herramientas o software.
- Solicitudes para compartir credenciales o códigos de autenticación.
- Envío de enlaces maliciosos o archivos adjuntos.
Suplantación de ejecutivos
En campañas más sofisticadas, los atacantes convencen a la víctima de iniciar sesiones de asistencia remota mediante herramientas legítimas como Quick Assist de Windows. Una vez obtenida la conexión remota, despliegan malware, roban credenciales o realizan movimientos laterales dentro de la red corporativa utilizando herramientas administrativas legítimas, dificultando enormemente su detección.
Evolución reciente de las amenazas
Microsoft ha documentado incidentes reales donde los atacantes emplearon llamadas de voz y mensajes de Teams para hacerse pasar por personal de soporte técnico. En algunos casos, tras varios intentos fallidos, lograron convencer a un usuario para otorgar acceso remoto a su equipo, permitiendo el compromiso inicial de la organización.
Paralelamente, investigadores han detectado un crecimiento significativo de campañas de phishing multicanal, donde los atacantes combinan correos electrónicos, invitaciones de calendario y mensajes de Teams para aumentar la credibilidad de sus engaños. Entre octubre de 2025 y marzo de 2026, los ataques basados en Teams crecieron aproximadamente un 41%, convirtiéndose en una tendencia relevante dentro del panorama de amenazas actual.
Adicionalmente, se han observado ataques que utilizan mecanismos legítimos de autenticación de Microsoft, como Device Code Authentication, para robar tokens de acceso y comprometer cuentas de Microsoft 365, incluyendo Outlook, Teams y OneDrive, incluso en entornos protegidos con autenticación multifactor (MFA).
Indicadores de compromiso y señales de alerta
Las organizaciones deben prestar especial atención a los siguientes indicadores:
- Mensajes inesperados de usuarios externos.
- Conversaciones provenientes de cuentas marcadas como “(External)”.
- Solicitudes urgentes para actuar de inmediato.
- Peticiones de acceso remoto no solicitadas.
- Solicitudes para compartir credenciales o códigos MFA.
- Enlaces o archivos enviados fuera de los procedimientos habituales.
- Contactos que afirman pertenecer al área de soporte técnico sin validación previa.
Indicadores de alertas en Teams
Recomendaciones de mitigación
Las organizaciones pueden reducir significativamente el riesgo mediante una combinación de controles técnicos y capacitación:
- Capacitar regularmente a los usuarios sobre phishing en plataformas de colaboración.
- Verificar siempre solicitudes sensibles mediante un canal alternativo conocido.
- Restringir o monitorear las comunicaciones externas en Teams.
- Implementar políticas de acceso condicional y monitoreo de sesiones.
- Supervisar el uso de herramientas de asistencia remota como Quick Assist.
- Revisar periódicamente los permisos de colaboración externa.
- Configurar alertas ante actividades sospechosas de autenticación o acceso remoto.
- Aplicar principios de mínimo privilegio para cuentas de usuario.
Recomendaciones
Microsoft también ha comenzado a desplegar nuevas funcionalidades de protección contra la suplantación de marcas y organizaciones en Teams, con el objetivo de advertir a los usuarios cuando detecte posibles intentos de fraude en llamadas provenientes de contactos externos.
Conclusión
Los ciberdelincuentes están trasladando progresivamente sus campañas de ingeniería social desde el correo electrónico hacia plataformas de colaboración empresarial como Microsoft Teams. La combinación de confianza, inmediatez y colaboración externa ha convertido a Teams en un objetivo atractivo para la suplantación de identidad, por lo que las organizaciones deben adaptar sus estrategias de concienciación y monitoreo para enfrentar esta nueva generación de ataques.
Información adicional:
- https://www.ramsac.com/blog/microsoft-teams-phishing-attacks-explained-how-to-spot-and-stop-impersonation-scams
- https://www.microsoft.com/en-us/security/blog/2026/03/16/help-on-the-line-how-a-microsoft-teams-support-call-led-to-compromise
- https://www.bleepingcomputer.com/news/security/microsoft-teams-increasingly-abused-in-helpdesk-impersonation-attacks
- https://www.techradar.com/pro/security/microsoft-issues-warning-over-teams-helpdesk-impersonation-attacks-hackers-are-blending-into-routine-it-support-activity-by-abusing-remote-assistance-access