### Ciberdelincuentes Aprovechan Servicios de Link Wrapping para Esconder Phishing Dirigido a Microsoft 365
#### Introducción
En las últimas semanas, los equipos de respuesta a incidentes y los analistas de amenazas han detectado un aumento significativo en campañas de phishing dirigidas a credenciales de Microsoft 365. La particularidad de esta oleada reside en el abuso de servicios de link wrapping legítimos, pertenecientes a reconocidas empresas tecnológicas, para camuflar enlaces maliciosos y eludir los controles de seguridad tradicionales. El uso de este vector representa un nuevo desafío para los sistemas de filtrado de correo electrónico y para las estrategias de concienciación de usuarios dentro de las organizaciones.
#### Contexto del Incidente
El phishing sigue siendo uno de los métodos más efectivos y rentables para los actores de amenazas, especialmente en el ámbito corporativo, donde el acceso a cuentas de Microsoft 365 puede implicar la obtención de información sensible, acceso a redes internas y potenciales movimientos laterales. En esta campaña, los atacantes han incrementado la sofisticación de sus métodos recurriendo a servicios de link wrapping proporcionados por plataformas ampliamente utilizadas como LinkedIn, Google y otras, dificultando la detección automática de las URLs maliciosas.
Según recientes informes de diversos SOCs y consultoras de ciberseguridad, se han identificado decenas de miles de correos electrónicos que emplean esta técnica, con un porcentaje de éxito superior al 10% en la recolección de credenciales en organizaciones que no implementan autenticación multifactor (MFA).
#### Detalles Técnicos
El ataque comienza con un correo electrónico de phishing que aparenta ser una notificación legítima, generalmente relacionada con la seguridad de la cuenta o documentos compartidos a través de Microsoft 365. El enlace incrustado en el mensaje no apunta directamente al sitio de phishing, sino que utiliza servicios de link wrapping como los de LinkedIn (`https://www.linkedin.com/slink?code=…`) o Google (`https://www.google.com/url?q=…`). Estos servicios redirigen al usuario a la URL final, que en realidad es una página de phishing alojada en servidores comprometidos o dominios recientemente registrados.
Las páginas fraudulentas imitan con precisión el portal de inicio de sesión de Microsoft 365 y recopilan credenciales introducidas por las víctimas. En algunos casos, se ha detectado el uso de técnicas de fingerprinting para evitar la detección automática por parte de sistemas sandbox y crawlers. Asimismo, los atacantes emplean exploits y kits de phishing distribuidos en foros underground, algunos de los cuales permiten la integración con frameworks como Evilginx2 para interceptar tokens de sesión y evadir mecanismos de MFA.
– **CVE relevante:** Aunque no se explota directamente una vulnerabilidad específica, la campaña se relaciona con técnicas de ingeniería social y abuso de funcionalidad (“Abuse Functionality”, Tactic T1566.002 según MITRE ATT&CK).
– **Indicadores de Compromiso (IoC):** URLs con patrones de wrapping, dominios de reciente creación, direcciones IP asociadas a campañas previas de phishing y fingerprints de infraestructura común.
– **Herramientas utilizadas:** Kits de phishing personalizados, proxies inversos, y exploits para eludir MFA (Evilginx2).
#### Impacto y Riesgos
El acceso no autorizado a cuentas de Microsoft 365 puede tener consecuencias severas: desde el robo de información sensible hasta el uso de la cuenta comprometida como vector para realizar ataques internos (BEC, movimiento lateral, spear phishing). Se han reportado incidentes con pérdidas superiores a 3 millones de euros en grandes organizaciones europeas, así como violaciones de datos que pueden acarrear sanciones bajo el RGPD y la inminente directiva NIS2.
El uso de servicios legítimos para el wrapping de enlaces dificulta la identificación por parte de soluciones convencionales de filtrado, lo que aumenta el riesgo para las empresas que no han adoptado soluciones avanzadas de detección basada en comportamiento.
#### Medidas de Mitigación y Recomendaciones
1. **Filtrado avanzado de enlaces:** Implementar soluciones que inspeccionen el destino final de los enlaces, no solo el dominio visible.
2. **Bloqueo de servicios de wrapping:** Considerar el bloqueo o la monitorización de enlaces que utilicen servicios de redirección, especialmente aquellos frecuentemente explotados.
3. **Autenticación multifactor (MFA):** Obligar el uso de MFA robusto, preferentemente basado en aplicaciones o dispositivos físicos.
4. **Concienciación y formación:** Actualizar los programas de formación en seguridad para alertar sobre el riesgo de enlaces redirigidos incluso desde fuentes aparentemente legítimas.
5. **Monitorización de accesos:** Vigilar accesos sospechosos en Microsoft 365, especialmente desde ubicaciones geográficas inusuales o dispositivos no autorizados.
#### Opinión de Expertos
Expertos de firmas como CrowdStrike y Mandiant coinciden en que el abuso de servicios legítimos para el wrapping de enlaces representa una tendencia en auge. “La confianza inherente en dominios de grandes tecnológicas está siendo explotada sistemáticamente”, señala un analista de amenazas. Recomiendan avanzar hacia modelos Zero Trust y reforzar la monitorización de tráfico web saliente.
#### Implicaciones para Empresas y Usuarios
Las organizaciones deben revisar y actualizar sus políticas de seguridad de correo electrónico y navegación, integrando herramientas de análisis de enlaces en tiempo real y promoviendo el uso de MFA. Los usuarios, por su parte, deben ser conscientes de que incluso enlaces aparentemente fiables pueden dirigir a recursos fraudulentos, lo que refuerza la importancia de políticas de formación continua.
#### Conclusiones
La sofisticación de las campañas de phishing basadas en link wrapping pone de manifiesto la necesidad de evolucionar las defensas corporativas. El modelo de confianza ciega en servicios legítimos ya no es válido. La combinación de técnicas de ingeniería social, abuso de funcionalidades y el empleo de herramientas avanzadas exige una respuesta integral basada en tecnología, procesos y concienciación.
(Fuente: www.bleepingcomputer.com)