En un mundo digital cada vez más interconectado, las plataformas de comunicación como Microsoft Teams, una de las más utilizadas en entornos laborales, han sido recientemente explotadas por el grupo cibercriminal Black Basta para llevar a cabo ataques de phishing. Aunque la plataforma es generalmente considerada segura, este incidente pone en evidencia que incluso las herramientas más confiables pueden ser vulnerables a ataques sofisticados. Los ciberdelincuentes están aprovechando su popularidad para acceder a datos sensibles de empresas y usuarios, lo que representa un riesgo creciente para la seguridad en el entorno digital corporativo.
¿Qué pasó?
El grupo Black Basta ha comenzado a utilizar Microsoft Teams para propagar ataques de phishing. A través de mensajes aparentemente legítimos, que simulan ser enviados por compañeros de trabajo o superiores, los atacantes engañan a los usuarios para que revelen información confidencial. Este enfoque hace que las víctimas bajen la guardia, ya que el entorno parece confiable y seguro.
¿Cómo sucedió?
Los ciberdelincuentes explotan vulnerabilidades dentro de la plataforma para insertar enlaces maliciosos o archivos adjuntos en las conversaciones. Estos enlaces llevan a sitios web fraudulentos donde se solicita a las víctimas que ingresen información personal, sin que se percaten de la amenaza. La apariencia auténtica de los mensajes aumenta considerablemente la probabilidad de que los usuarios caigan en el engaño. Además, la comunicación a través de Teams, que es común en ambientes laborales, hace que el ataque sea aún más difícil de detectar.
¿Cómo se Desarrolla la Amenaza?
El ataque de Black Basta sigue un proceso meticulosamente planeado que involucra múltiples etapas para engañar a las víctimas y ganar acceso a sus sistemas. A continuación, se describe el flujo de ataque paso a paso:
- Creación de una Cuenta Falsa en Microsoft 365: El primer paso del ataque comienza con la creación de una cuenta falsa en Microsoft 365, diseñada para parecer una organización legítima. Esta cuenta actúa como la base desde donde el atacante interactúa, logrando que sus acciones se vean más creíbles.
- Inundación de Correos Electrónicos: Posteriormente, los atacantes inundan la bandeja de entrada del objetivo con correos electrónicos aparentemente benignos, como boletines informativos. Estos mensajes crean una sensación de normalidad y confianza.
- Creación de un Chat en Teams: El siguiente paso es crear un chat en Microsoft Teams con la víctima, normalmente de manera uno a uno. El atacante se hace pasar por personal de soporte técnico o del equipo de TI, ofreciéndose a ayudar con problemas relacionados con los correos electrónicos no deseados, ganándose la confianza de la víctima.
- Acceso Remoto: Una vez que el atacante ha establecido una comunicación efectiva, convence a la víctima para que le otorgue acceso a su máquina a través de herramientas de acceso remoto. Este paso le da al atacante control sobre el dispositivo de la víctima.
- Explotación y Control Total: Con acceso al dispositivo, el atacante puede desactivar controles de seguridad, recopilar archivos confidenciales o incluso implementar malware. Esto no solo permite robar información, sino que el atacante puede tomar control total de la máquina, lo que abre la puerta a futuros ataques, fraudes o incluso el secuestro de datos.
Recomendaciones
- Configuraciones de Seguridad en Teams: Revisar y personalizar las configuraciones de seguridad de Microsoft Teams para evitar que usuarios externos no autorizados inicien conversaciones o accedan a recursos internos.
- Fortalecimiento de Contraseñas: Exigir contraseñas únicas, complejas y largas para todas las cuentas. Cambiarlas regularmente y evitar su reutilización en diferentes plataformas.
- Establecer un Protocolo de Respuesta: Definir un procedimiento claro para reportar intentos de phishing o incidentes sospechosos. Asegurarse de que todos los empleados conozcan cómo actuar en estos casos.
- Verificación de Mensajes: Confirmar la autenticidad de mensajes sospechosos, especialmente los que soliciten acceso remoto, datos confidenciales o cualquier acción inusual. Utilizar otros medios, como llamadas directas, para validar solicitudes.
- Capacitación en Ciberseguridad: Realizar entrenamientos periódicos para que los empleados aprendan a identificar mensajes sospechosos.
Indicadores de compromiso