AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Empresas

Microsoft refuerza Teams con alertas antifraude ante intentos de suplantación en llamadas externas

admin

1. Introducción

En respuesta al notable incremento de ataques de ingeniería social a través de plataformas colaborativas, Microsoft ha anunciado la incorporación de nuevas funcionalidades antifraude en Microsoft Teams. Estas mejoras buscan proteger a los usuarios corporativos de intentos de suplantación de identidad (impersonation) durante llamadas externas, una táctica cada vez más utilizada por actores de amenazas para vulnerar la seguridad de las organizaciones. Este movimiento se enmarca dentro de la estrategia de Microsoft para reforzar la seguridad en su ecosistema de colaboración, anticipándose a la sofisticación de las amenazas actuales y alineándose con los requerimientos regulatorios recientes, como la directiva NIS2 y el RGPD.

2. Contexto del Incidente o Vulnerabilidad

El uso de Teams como vector para ataques basados en ingeniería social se ha disparado a raíz de la popularización del trabajo híbrido y remoto. Los ciberdelincuentes aprovechan la confianza inherente a las comunicaciones internas y externas en plataformas colaborativas para lanzar campañas de vishing (voice phishing), suplantación de ejecutivos (CEO fraud) y distribución de malware mediante enlaces o archivos maliciosos compartidos en tiempo real. La dificultad de verificar la identidad de interlocutores externos durante llamadas facilita estas campañas, exponiendo a empleados, administradores de sistemas y equipos de respuesta ante incidentes a riesgos significativos.

3. Detalles Técnicos

Las nuevas capacidades de protección de fraude en Microsoft Teams estarán orientadas específicamente a llamadas entrantes desde números o cuentas externas que no pertenecen al dominio corporativo. El sistema implementará algoritmos de detección basados en inteligencia artificial y análisis de patrones de comportamiento, capaces de identificar intentos de suplantación de organizaciones legítimas.

Estas alertas se activarán cuando el sistema detecte signos típicos de ingeniería social, como el uso de nombres similares a entidades reconocidas, patrones de llamada sospechosos (por ejemplo, intentos reiterados de contacto o llamadas fuera de horario laboral), o cambios recientes en los detalles de la cuenta externa. La integración de estas alertas se basa en la correlación de indicadores de compromiso (IoC) y TTPs asociados al framework MITRE ATT&CK, especialmente los relacionados con las técnicas T1204 (User Execution) y T1589 (Gather Victim Identity Information).

En cuanto a la arquitectura, Microsoft no ha detallado la integración con herramientas como Microsoft Defender for Office 365, pero se prevé que las alertas puedan ser gestionadas desde el Security & Compliance Center, permitiendo la orquestación de respuestas a través de SIEMs compatibles y facilitando la incorporación de estos eventos en flujos de trabajo SOAR.

4. Impacto y Riesgos

El impacto potencial de los ataques de suplantación en Teams se ha reflejado en incidentes recientes, donde organizaciones han reportado pérdidas económicas superiores a los 2,3 millones de euros en fraudes BEC (Business Email Compromise) que migran al canal de voz para eludir controles tradicionales de correo electrónico. Según datos de ENISA, el 41% de los ataques de ingeniería social en empresas europeas en 2023 involucraron plataformas de comunicaciones colaborativas.

El riesgo para las organizaciones abarca desde la filtración de credenciales hasta el acceso no autorizado a recursos críticos, pasando por la evasión de mecanismos de autenticación multifactor (MFA) mediante manipulación directa del usuario.

5. Medidas de Mitigación y Recomendaciones

Además de las nuevas funcionalidades de Microsoft, se recomienda a los equipos de seguridad:

– Implementar políticas restrictivas para llamadas externas en Teams, limitando la posibilidad de contacto a dominios verificados.
– Configurar alertas en SIEM para detectar patrones anómalos en el uso de Teams.
– Formar a los empleados en la identificación de intentos de suplantación y en la correcta verificación de la identidad de interlocutores externos.
– Utilizar soluciones EDR/XDR integradas que monitoricen la actividad en Teams y correlacionen eventos sospechosos.
– Revisar y actualizar los procedimientos de respuesta ante incidentes para incluir escenarios de fraude a través de plataformas colaborativas.

6. Opinión de Expertos

Alberto Sánchez, CISO de una consultora tecnológica española, destaca: “La integración de alertas antifraude en Teams supone un avance relevante, aunque no sustituye la necesidad de concienciación continua. Los atacantes adaptan rápidamente sus tácticas, y la integración de IA para detección de patrones sospechosos es fundamental, pero debe complementarse con una estrategia de defensa en profundidad”.

Por su parte, Marta Garzón, analista SOC, señala: “La correlación de eventos en plataformas colaborativas es todavía un reto para muchos SIEMs tradicionales. La visibilidad sobre las interacciones externas en Teams es clave para anticiparse a movimientos laterales y ataques multicanal”.

7. Implicaciones para Empresas y Usuarios

La llegada de estas funciones antifraude permitirá a las empresas fortalecer su postura de seguridad frente a una de las principales amenazas actuales: la manipulación directa de empleados vía canales legítimos. Para los usuarios, la experiencia será más segura, aunque implicará una mayor responsabilidad en la gestión de alertas y la verificación de interlocutores.

Las organizaciones deberán adaptar sus políticas de uso de Teams y revisar sus estrategias de cumplimiento normativo, especialmente en relación con la protección de datos personales bajo RGPD y los nuevos requerimientos de notificación de incidentes críticos recogidos en NIS2.

8. Conclusiones

La incorporación de alertas antifraude en llamadas externas de Microsoft Teams responde a una necesidad urgente: blindar los canales colaborativos frente a la sofisticación de la ingeniería social. Si bien supone un avance tecnológico relevante, la protección efectiva requerirá una combinación de tecnología, procedimientos robustos y una cultura de ciberseguridad activa. Ante un escenario en el que la colaboración se convierte en un vector de ataque prioritario, la anticipación y la adaptación serán la clave para mitigar riesgos y cumplir con las exigencias regulatorias y del mercado.

(Fuente: www.bleepingcomputer.com)