AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

Microsoft habilita en Teams la notificación de falsos positivos en alertas de amenazas

admin

Introducción

Microsoft ha anunciado una nueva funcionalidad en su plataforma de colaboración Teams que permitirá a los usuarios reportar alertas de amenazas marcadas erróneamente como maliciosas, es decir, falsos positivos. Esta iniciativa responde a una demanda creciente entre organizaciones que buscan optimizar la eficacia de sus sistemas de detección de amenazas y reducir la fatiga de alertas entre analistas de seguridad y administradores de sistemas.

Contexto del Incidente o Vulnerabilidad

La proliferación de herramientas colaborativas en entornos corporativos ha convertido a Microsoft Teams en un objetivo atractivo para actores maliciosos, lo que ha impulsado a Microsoft a reforzar sus capacidades de seguridad. Teams integra mecanismos de protección como la detección de enlaces sospechosos, análisis de archivos y filtrado de mensajes potencialmente peligrosos mediante integración con Microsoft Defender para Office 365. Sin embargo, el elevado volumen de comunicaciones puede generar un número significativo de falsos positivos, mensajes legítimos que son catalogados incorrectamente como amenazas, lo que entorpece los flujos de trabajo y erosiona la confianza en los sistemas de detección.

Detalles Técnicos

El nuevo sistema de notificación de falsos positivos estará disponible para los usuarios finales de Teams y permitirá informar directamente desde la interfaz de la aplicación cuando un mensaje legítimo haya sido marcado como potencial amenaza. Esta función se integrará con el backend de Microsoft Defender para Office 365, permitiendo a los analistas de seguridad recibir retroalimentación contextualizada y ajustar las reglas de detección y machine learning en función de los reportes.

Desde el punto de vista técnico, los mensajes en Teams pueden ser marcados como maliciosos por la detección de patrones compatibles con phishing, enlaces a dominios incluidos en listas negras, archivos adjuntos con firmas maliciosas o coincidencias con indicadores de compromiso (IoC) conocidos. Las técnicas y tácticas asociadas, según la matriz MITRE ATT&CK, incluyen spearphishing via service (T1566.003) y malicious link delivery (T1204.001). La notificación de falsos positivos servirá para refinar los modelos de detección y reducir la tasa de alertas no pertinentes.

Impacto y Riesgos

Según datos internos de Microsoft y de estudios sectoriales, más del 20% de las alertas de seguridad generadas en plataformas colaborativas pueden corresponder a falsos positivos. Esto genera una sobrecarga en los equipos de respuesta a incidentes y puede provocar la omisión de amenazas reales debido a la «fatiga de alertas» (alert fatigue). En el caso de grandes organizaciones, este fenómeno puede derivar en cientos o miles de horas de trabajo desperdiciadas al año, así como en la desconfianza de los usuarios hacia los sistemas de seguridad.

Por otro lado, la incapacidad para distinguir adecuadamente los mensajes legítimos de los maliciosos puede tener implicaciones de cumplimiento normativo, especialmente bajo marcos como el Reglamento General de Protección de Datos (GDPR) y la Directiva NIS2, que exigen la implementación de soluciones de seguridad eficaces y proporcionadas para la protección de datos e infraestructuras críticas.

Medidas de Mitigación y Recomendaciones

La introducción de la funcionalidad de reporte de falsos positivos en Teams se complementa con una serie de buenas prácticas recomendadas:

– Formación continua a los usuarios sobre riesgos de phishing y amenazas en plataformas colaborativas.
– Revisión periódica de las reglas de detección en Microsoft Defender para Office 365, ajustando umbrales y condiciones según los reportes de falsos positivos.
– Integración de los reportes en los flujos de trabajo del SOC mediante SIEM (p.ej., Microsoft Sentinel) para permitir análisis forense y retroalimentación a los modelos de machine learning.
– Uso de frameworks de automatización, como SOAR, para orquestar respuestas a alertas y reducir la carga manual.

Opinión de Expertos

Especialistas en ciberseguridad valoran positivamente la iniciativa de Microsoft. “La capacidad de retroalimentar al sistema con falsos positivos es fundamental para mantener la eficacia de cualquier solución de detección basada en inteligencia artificial o reglas heurísticas”, afirma Sara López, analista senior de amenazas en S21sec. “Sin este mecanismo, el riesgo de que los analistas dejen de confiar en las alertas o ignoren incidentes críticos aumenta considerablemente”.

Implicaciones para Empresas y Usuarios

Para las empresas, la nueva funcionalidad representa una oportunidad para mejorar la eficiencia operativa de sus equipos de seguridad, reducir costes asociados a la gestión de alertas y elevar el nivel de cumplimiento con normativas europeas. Desde el punto de vista de los usuarios, la posibilidad de reportar falsos positivos contribuye a un entorno de trabajo menos intrusivo y más alineado con la realidad operativa de cada organización.

Microsoft prevé desplegar esta característica a lo largo del tercer trimestre de 2024. Se recomienda a los administradores de sistemas y responsables de seguridad revisar las actualizaciones de políticas y procedimientos internos para integrar adecuadamente este nuevo flujo de reporte.

Conclusiones

La habilitación del reporte de falsos positivos en Microsoft Teams supone un avance significativo en la maduración de las plataformas colaborativas seguras. Al involucrar a los usuarios en el proceso de depuración de alertas, se consigue mejorar la calidad de los sistemas de detección, reducir la fatiga de alertas y cumplir con los requisitos normativos de protección de datos y ciberseguridad. Esta tendencia refuerza la necesidad de enfoques colaborativos y adaptativos en la defensa frente a amenazas cada vez más sofisticadas en el entorno corporativo.

(Fuente: www.bleepingcomputer.com)