Campaña activa de suplantación mediante Microsoft Teams para acceso remoto no autorizado

Campaña activa de suplantación mediante Microsoft Teams para acceso remoto non autorizado
Empresas
Administración pública
Ingeniería Social
Microsoft
Suplantación de identidad
Nivel de alerta
Alto

Se ha detectado a nivel internacional una campaña activa de ciberataques basada en ingeniería social multicanal, en la que actores maliciosos utilizan correo electrónico y Microsoft Teams para suplantar servicios de soporte técnico.

El objetivo es inducir a los usuarios a conceder acceso remoto a sus equipos mediante herramientas legítimas como Quick Assist, lo que permite la ejecución de código malicioso y el control del sistema.

Aunque no existen evidencias públicas confirmadas de impacto específico en España, el riesgo es directamente aplicable a las administraciones públicas, debido al uso generalizado de estas herramientas y al componente humano implicado.

Cadena de ataque (simplificada)

  1. Saturación inicial (email bombing)
    Envío masivo de correos electrónicos para generar confusión o sensación de incidencia.
  2. Contacto fraudulento por Microsoft Teams
    El atacante se hace pasar por personal de soporte IT.
  3. Engaño al usuario
    Se solicita ejecutar una herramienta de asistencia remota como Quick Assist.
  4. Acceso remoto al equipo
    El usuario concede control del sistema al atacante.
  5. Ejecución de malware
    Uso de técnicas como DLL sideloading para cargar código malicioso.
  6. Persistencia y control
    Instalación de backdoors y uso de canales encubiertos como DNS tunneling.

Mapeo MITRE ATT&CK (referencia técnica)

  • Acceso inicial
    • T1566 – Phishing
    • T1204 – Ejecución por parte del usuario
  • Ejecución
    • T1059 – Intérprete de comandos y scripting
    • T1218 – Ejecución mediante binarios firmados
  • Persistencia
    • T1574 – Secuestro del flujo de ejecución (DLL sideloading)
  • Evasión de defensas
    • T1497 – Evasión de entornos de análisis
  • Comando y control
    • T1071 – Protocolos de capa de aplicación
    • T1071.004 – DNS
  • Descubrimiento
    • T1082 – Descubrimiento de información del sistema

       
Descripción de acciones para evitar el riesgo o solucionarlo

Medidas recomendadas para AAPP

A nivel organizativo

  • Establecer procedimientos claros para las comunicaciones del servicio de soporte IT
  • Sensibilizar al personal sobre suplantación a través de herramientas corporativas
  • Verificar cualquier solicitud de acceso remoto por canales oficiales

A nivel técnico

  • Restringir o monitorizar el uso de herramientas de acceso remoto como Quick Assist
  • Implementar control de aplicaciones mediante listas blancas
  • Supervisar el tráfico DNS para detectar comportamientos anómalos
  • Bloquear la ejecución de binarios no autorizados

A nivel de detección y respuesta

  • Monitorizar accesos remotos no habituales
  • Revisar la instalación de software no autorizado
  • Utilizar soluciones EDR para detectar técnicas de evasión
  • Activar procedimientos de respuesta ante compromisos de equipos