Campañas de phishing sofisticadas suplantan Zoom, Meet y Teams para comprometer credenciales

Introducción

Durante el primer semestre de 2024, los investigadores de Threat Labs de Netskope han identificado un aumento notable en campañas de phishing que reproducen de forma convincente la experiencia digital cotidiana de usuarios y empleados en entornos corporativos. Estas campañas, detectadas a través de una monitorización proactiva de amenazas en la nube y la inteligencia artificial, se aprovechan de la familiaridad y confianza depositada en plataformas de videoconferencia ampliamente utilizadas como Zoom, Google Meet y Microsoft Teams. El objetivo: comprometer credenciales de acceso y facilitar intrusiones en infraestructuras empresariales.

Contexto del Incidente o Vulnerabilidad

El auge del trabajo híbrido y remoto ha consolidado las plataformas de videoconferencia como vectores privilegiados para la interacción profesional. Este contexto ha sido aprovechado por actores maliciosos, quienes han perfeccionado técnicas de ingeniería social para enviar invitaciones a reuniones aparentemente legítimas, pero que redirigen a sitios de phishing meticulosamente diseñados. Estos ataques no solo buscan las credenciales de acceso, sino que, en muchos casos, despliegan cargas maliciosas adicionales o capturan MFA tokens, incrementando el riesgo de ataques de compromiso de cuentas (ATO) y movimientos laterales en la red.

Detalles Técnicos

Las campañas analizadas presentan un alto grado de sofisticación tanto en la ingeniería social como en la replicación visual de los portales originales de Zoom, Google Meet y Teams. Las URL maliciosas suelen estar alojadas en dominios recientemente registrados, muchas veces utilizando servicios de acortadores (Bitly, TinyURL) o dominios de aspecto legítimo que incluyen nombres como “zoom-meetings-support.com” o “teams-login-notify.net”.

Vectores de ataque y TTP MITRE ATT&CK:
– Initial Access (T1566.002): Phishing vía correo electrónico, con asuntos idénticos a los utilizados en invitaciones reales (“Reunión programada”, “Invitación a videollamada”, etc.).
– Credential Phishing (T1110.001): Clonación de páginas de inicio de sesión con soporte para autenticación multifactor.
– Collection (T1114): Captura de credenciales y tokens de sesión en tiempo real mediante proxies reversos tipo Evilginx2.
– Exfiltration (T1041): Transmisión automatizada de las credenciales a servidores de comando y control (C2).

IoCs frecuentes:
– Dominios: [zoom-support-login.com], [meet-google-auth.net], [teams-session-alert.info]
– IPs asociadas a infraestructuras VPS en países como Rusia, Ucrania y Malasia.
– Hashes de scripts JavaScript ofuscados detectados en varias instancias.

Versiones afectadas:
No se trata de una vulnerabilidad en el software per se, sino de abuso de la imagen de Zoom, Meet y Teams. Sin embargo, usuarios que no emplean autenticación fuerte o Single Sign-On (SSO) resultan especialmente vulnerables.

Impacto y Riesgos

Las campañas han tenido un impacto significativo, con un incremento del 30% en los intentos de phishing que imitan portales de videoconferencia según datos de Netskope y otros partners del sector. Las consecuencias más frecuentes incluyen:
– Compromiso de cuentas corporativas y acceso a información confidencial.
– Despliegue de malware, ransomware o backdoors tras la obtención inicial de credenciales.
– Riesgo de violaciones de la GDPR y NIS2 por fugas de datos personales y corporativos.
– Potenciales pérdidas económicas directas e indirectas, con estimaciones medias de entre 500.000 y 1,5 millones de euros por incidente en organizaciones de tamaño medio.

Medidas de Mitigación y Recomendaciones

Para mitigar el riesgo asociado a este tipo de ataques, se recomienda:
– Implementar autenticación multifactor robusta y preferentemente basada en hardware (Yubikey, FIDO2).
– Reforzar las políticas de Zero Trust y segmentación de acceso a aplicaciones colaborativas.
– Desplegar soluciones de seguridad en el gateway web/cloud (CASB) capaces de detectar y bloquear dominios sospechosos en tiempo real.
– Formación periódica y simulacros de phishing para concienciar a los usuarios sobre invitaciones falsas.
– Monitorización continua de logs de acceso y uso de herramientas EDR con detección de anomalías en sesiones de videoconferencia.

Opinión de Expertos

Rafael Carrasco, CISO de una consultora internacional, señala: “La sofisticación creciente de estos ataques exige no solo soluciones técnicas avanzadas, sino una cultura de seguridad madura entre los empleados. La suplantación de plataformas tan habituales dificulta la detección manual y hace imprescindible el uso de inteligencia artificial en la defensa”.

Según Netskope Threat Labs, el uso de proxies reversos y kits de phishing automatizados se está profesionalizando, con variantes que incluso sortean mecanismos de autenticación de dos factores y capturan tokens OAuth válidos.

Implicaciones para Empresas y Usuarios

Las organizaciones deben anticipar que la confianza en las plataformas colaborativas puede ser explotada por los atacantes para obtener acceso a sistemas críticos. Un incidente de esta naturaleza puede tener implicaciones legales graves bajo el marco del GDPR y la directiva NIS2, especialmente si involucra datos personales de clientes o empleados. Además, la pérdida de integridad en sistemas de comunicación puede afectar la continuidad de negocio y la reputación corporativa.

Conclusiones

Las campañas de phishing que imitan a Zoom, Meet y Teams representan una evolución significativa en las amenazas de ingeniería social dirigidas al entorno empresarial. Su éxito radica en la combinación de técnicas avanzadas de suplantación, automatización y explotación del comportamiento habitual de los usuarios. Solo la adopción de una defensa en profundidad, combinada con concienciación y tecnología de detección avanzada, permitirá mitigar estos riesgos en el actual escenario cloud y colaborativo.

(Fuente: www.cybersecuritynews.es)