Microsoft ha alertado sobre un aumento en las intrusiones donde los atacantes utilizan Microsoft Teams para hacerse pasar por personal de TI o del helpdesk, persuadiendo a los empleados para que otorguen acceso remoto a sus dispositivos. La compañía señala que estos patrones aprovechan la colaboración externa entre tenants, herramientas legítimas como Quick Assist y utilidades comunes de administración y transferencia de datos para desplazarse por la red y extraer información sin despertar sospechas.
El problema no radica en una vulnerabilidad clásica de software, sino en la combinación de ingeniería social, confianza en canales corporativos y el uso indebido de herramientas legítimas. Microsoft destaca que el vector inicial suele comenzar con un chat externo en Teams, donde el atacante se presenta como soporte interno, a veces bajo el pretexto de una incidencia de cuenta, spam o una supuesta actualización de seguridad. El objetivo es que la víctima inicie una sesión de soporte remoto y entregue el control de su equipo.
Esta estrategia refleja una tendencia más amplia: los atacantes ya no dependen únicamente del correo electrónico para infiltrar una organización. Los canales de colaboración en tiempo real se están convirtiendo en nuevas “puertas de entrada” para las intrusiones, ya que combinan urgencia, contexto y una apariencia de legitimidad que reduce la desconfianza del usuario. En marzo, Microsoft advirtió que las llamadas y chats en Teams estaban consolidándose como canales de alto impacto para ataques de suplantación y vishing.
Así funciona la cadena de ataque
En su nuevo informe, Microsoft describe una cadena de nueve fases. Todo comienza con el contacto externo mediante Teams. Si el usuario acepta la conversación y sigue las instrucciones del supuesto técnico, el siguiente paso suele ser utilizar Quick Assist u otra herramienta similar de soporte remoto. En ese momento, el atacante obtiene un acceso legítimo e interactivo al escritorio de la víctima, lo cual puede parecer una sesión de ayuda normal desde el punto de vista telemétrico.
Una vez dentro, el intruso realiza un reconocimiento rápido usando Command Prompt y PowerShell para verificar privilegios, pertenencia al dominio y conectividad con otros sistemas. Luego, coloca una pequeña carga en rutas accesibles, como ProgramData, y la ejecuta mediante DLL side-loading, aprovechando aplicaciones firmadas y de confianza. Microsoft menciona como ejemplos software de Autodesk, Adobe Acrobat/Reader, Windows Error Reporting o soluciones de prevención de fuga de datos. Esta técnica facilita que la ejecución maliciosa se mezcle con procesos comunes en el entorno empresarial.
La comunicación con el mando y control generalmente se realiza vía HTTPS, y la persistencia se mantiene mediante cambios en el Registro de Windows. Desde ese momento, el atacante pasa a la fase más delicada: movimiento lateral mediante Windows Remote Management, despliegue de herramientas de administración remota adicionales y exfiltración de datos a servicios cloud externos como Rclone. Microsoft resalta que estas salidas de datos suelen estar filtradas cuidadosamente para extraer solo información valiosa, reducir volumen y mantener un perfil discreto.
El verdadero riesgo: todo parece actividad normal
Lo inquietante de estos ataques es que gran parte de la actividad se asemeja mucho a operaciones legítimas de soporte. No hay malware ruidoso ni exploits llamativos, ni necesariamente caídas de servicios que delaten la intrusión. Se trata de una conversación en Teams, una sesión de asistencia, comandos administrativos habituales y protocolos nativos de Windows. Por eso, Microsoft habla de una intrusión “human-operated”, basada más en engaños y herramientas de confianza que en la explotación de vulnerabilidades de software.
La empresa también señala que Teams ya muestra señales de alerta en el primer contacto externo: pantallas para aceptar o bloquear, etiquetas de tenant externo, previsualizaciones de mensajes y avisos de posible phishing o spam. El problema, según Microsoft, es que estas advertencias se ignoran o se pasan por alto, y el usuario continúa interactuando hasta otorgar acceso remoto. La amenaza, por tanto, se apoya menos en vulnerar la plataforma y más en que la propia plataforma se use contra sus usuarios.
¿Qué puede hacer una empresa para reducir el riesgo?
Microsoft recomienda varias medidas concretas: en primer lugar, tratar cualquier contacto externo en Teams como no confiable por defecto, especialmente si quien llama o escribe dice ser del helpdesk o del equipo de seguridad. En segundo lugar, revisar y limitar el uso de Quick Assist y otras herramientas de administración remota solo a los casos necesarios. Por último, restringir WinRM a sistemas controlados y mejorar la supervisión del SOC en cuanto a actividad de llamadas, chats externos, primeros contactos y sesiones remotas.
Asimismo, Microsoft está reforzando la protección en la plataforma. En marzo anunció nuevas funciones de Defender para Teams Calling, que permiten al SOC detectar llamadas sospechosas, realizar investigaciones avanzadas y recibir alertas en tiempo real cuando una llamada externa intenta suplantar a una entidad conocida. Además, la hoja de ruta de Microsoft 365 incluye la función de “Brand Impersonation Protection for Teams Calling”, que se activa por defecto, para detectar y advertir sobre llamadas externas sospechosas.
En conclusión, cualquier organización debe comprender que Teams ya no solo es una herramienta de colaboración; también es una superficie de ataque. Cuanto más se asemeje el abuso a una interacción cotidiana de soporte, más importante será combinar controles técnicos, telemetría y formación de usuarios. En estas intrusiones, el clic malicioso ya no llega solo por correo, sino por chat, llamada y con apariencia de ayuda urgente.
Preguntas frecuentes
¿Microsoft Teams tiene alguna vulnerabilidad que permita estos ataques?
Microsoft aclara que esta cadena de intrusiones no nace de una vulnerabilidad en Teams ni de fallos en sus protecciones, sino del uso indebido de funciones legítimas de colaboración externa, combinadas con ingeniería social y consentimiento voluntario del usuario.
¿Qué herramienta usan los atacantes para obtener el control inicial del equipo?
Principalmente, mencionan Quick Assist, aunque también hacen referencia a software comercial de gestión remota y asistencia como parte del ciclo del ataque.
¿Cómo se mueven posteriormente por la red?
Tras el acceso inicial, suelen usar Command Prompt y PowerShell para reconocimiento, WinRM para movimiento lateral, cargas mediante DLL side-loading, y herramientas como Rclone para exfiltrar datos a la nube.
¿Qué debe hacer una empresa en este momento?
Revisar la colaboración externa en Teams, limitar el uso de Quick Assist y WinRM, capacitar a los empleados para desconfiar de soporte no solicitado, y activar o supervisar las nuevas capacidades de protección e investigación de Microsoft Defender para Teams.
Fuente: Microsoft