Un nuevo nivel en campañas de phishing corporativo
Investigadores de ciberseguridad han identificado un incremento alarmante en campañas de phishing dirigidas a entornos Microsoft 365, donde los atacantes están combinando el abuso de Axios —una librería popular de cliente HTTP— con la función legítima Direct Send de Microsoft. Esta técnica les ha permitido diseñar un “canal de ataque altamente eficiente” capaz de evadir controles de seguridad tradicionales y llegar de forma masiva a las bandejas de entrada de los usuarios.
Axios y Direct Send: combinación peligrosa
Axios, ampliamente utilizado en entornos de desarrollo, está siendo explotado para interceptar, modificar y reenviar solicitudes HTTP, lo que facilita la captura de tokens de sesión y códigos de autenticación multifactor (MFA) en tiempo real. ReliaQuest reporta que, al combinar esta herramienta con la función de Direct Send, los atacantes alcanzaron hasta un 70% de efectividad en campañas recientes, superando ampliamente otras técnicas de phishing.
Ingeniería social con códigos QR y plataformas confiables
Las campañas observadas utilizan señuelos relacionados con compensaciones económicas para inducir a los usuarios a abrir archivos PDF con códigos QR maliciosos. Estos, al ser escaneados, redirigen a páginas falsas de inicio de sesión de Microsoft Outlook alojadas en Google Firebase, aprovechando la reputación de la plataforma para evadir filtros. Con ello, los atacantes no solo buscan credenciales, sino también integrarse en los flujos legítimos de autenticación empresarial.
Salty 2FA: el phishing como servicio (PhaaS)
A la par, se descubrió un nuevo kit de phishing como servicio denominado Salty 2FA, diseñado para evadir múltiples métodos de MFA: SMS, aplicaciones autenticadoras, llamadas telefónicas, notificaciones push, códigos de respaldo e incluso llaves físicas. Este kit eleva la sofisticación de los ataques al incorporar:
Verificación Cloudflare Turnstile para filtrar herramientas automatizadas.
Geofencing e IP filtering para bloquear investigadores y proveedores de seguridad.
Subdominios dinámicos por víctima, dificultando el rastreo.
Branding dinámico que adapta la apariencia del portal falso según el dominio del correo corporativo de la víctima.
Impacto empresarial y sectores en riesgo
Los ataques inicialmente se dirigieron a ejecutivos de sectores financiero, salud y manufactura, expandiéndose luego a usuarios en general. Paralelamente, campañas similares se han detectado en la industria hotelera, con correos que imitan a plataformas como Expedia Partner Central y Cloudbeds, aprovechando la rutina de reservas y confirmaciones.
Recomendaciones para mitigar el riesgo
Las organizaciones deben reforzar sus defensas adoptando medidas clave:
Restringir o deshabilitar Direct Send si no es estrictamente necesario.
Configurar políticas de anti-spoofing en gateways de correo.
Fortalecer los programas de concienciación en phishing para empleados.
Bloquear dominios y subdominios sospechosos asociados a estas campañas.
Conclusión
La explotación de Axios y kits como Salty 2FA reflejan la evolución de los ciberdelincuentes hacia operaciones de nivel empresarial, capaces de manipular flujos de autenticación y explotar servicios legítimos para maximizar el éxito de sus campañas. La línea entre tráfico legítimo y malicioso se vuelve cada vez más difusa, lo que obliga a las empresas a repensar sus defensas de correo electrónico y autenticación frente a un panorama de amenazas en constante transformación.
