Microsoft refuerza la seguridad en Teams: Bloqueo de mensajes y llamadas externas para proteger a las organizaciones
Introducción
Microsoft ha anunciado una próxima actualización en las capacidades de administración de seguridad de Microsoft Teams que permitirá a los administradores bloquear de forma granular la recepción de mensajes, llamadas o invitaciones a reuniones provenientes de usuarios externos. Esta nueva funcionalidad responde a la creciente amenaza de ataques de ingeniería social, phishing y campañas de malware dirigidas a través de plataformas de colaboración empresarial. El anuncio supone un paso relevante para CISOs, analistas SOC y responsables de cumplimiento, en un contexto de ciberataques cada vez más sofisticados que aprovechan la confianza depositada en entornos colaborativos cloud.
Contexto del Incidente o Vulnerabilidad
El auge del teletrabajo y la colaboración remota ha convertido a plataformas como Microsoft Teams en un objetivo prioritario para los actores de amenazas. En los últimos años, se ha detectado un incremento notable en el uso de Teams, Slack y otras aplicaciones de colaboración como vector inicial de ataque. Según datos de Microsoft, en 2023 Teams superó los 300 millones de usuarios activos mensuales, lo que lo convierte en un blanco atractivo para campañas de phishing, distribución de malware, ransomware y acceso no autorizado a información confidencial.
Hasta ahora, la configuración por defecto de Teams permitía recibir mensajes, llamadas y solicitudes de reunión de usuarios externos, siempre que estuvieran habilitados los controles de comunicación externa. Esto abría la puerta a ataques de suplantación de identidad y técnicas de «social engineering» dirigidas a empleados, especialmente a aquellos con privilegios elevados o acceso a datos sensibles.
Detalles Técnicos
La nueva funcionalidad, que se desplegará a lo largo del tercer trimestre de 2024, habilitará a los administradores la opción de bloquear, de manera selectiva o global, la recepción de:
– Mensajes de chat 1:1 o en grupo de usuarios externos (federados o anónimos).
– Llamadas de voz y videollamadas iniciadas por usuarios externos.
– Invitaciones a reuniones procedentes de dominios no autorizados.
Esta medida se implementará a través del Centro de Administración de Teams (Teams Admin Center) y PowerShell, ofreciendo integración con políticas de seguridad existentes (Conditional Access, DLP, MCAS, etc.). Será posible definir reglas basadas en dominios, grupos de usuarios o perfiles de riesgo.
Vectores de ataque conocidos y TTPs (MITRE ATT&CK):
– Spear phishing via service (T1566.003): Uso de mensajes directos externos para distribuir enlaces maliciosos o archivos adjuntos.
– Initial access (T1078): Obtención de credenciales a través de ingeniería social en chats de Teams.
– Internal spearphishing (T1534): Reenvío de amenazas desde usuarios comprometidos a internos.
– Command and control (T1071.001): Uso de canales externos para exfiltración o control remoto.
Indicadores de Compromiso (IoC) habituales incluyen URLs acortadas, archivos adjuntos con macros, dominios recientemente registrados y patrones de lenguaje anómalos en mensajes externos.
Impacto y Riesgos
El riesgo principal reside en la posibilidad de que un atacante externo pueda contactar directamente con empleados, superando barreras tradicionales de filtrado de correo electrónico. Según estudios recientes, un 17% de los ciberataques de ingeniería social en entornos corporativos se originan en plataformas de colaboración. Además, campañas como las detectadas en 2023, donde se distribuyó malware Emotet y QakBot a través de enlaces en Teams, muestran la capacidad de los atacantes para adaptarse a nuevos canales.
La falta de control sobre las comunicaciones externas también puede suponer incumplimiento de normativas como el GDPR o la Directiva NIS2, al facilitar la fuga de datos personales o el acceso no autorizado a información regulada.
Medidas de Mitigación y Recomendaciones
La principal medida es la activación de las nuevas políticas de restricción de comunicaciones externas en Teams, segmentando por perfiles de riesgo y necesidades de negocio. Se recomienda:
– Revisar y actualizar la lista de dominios permitidos y bloqueados.
– Configurar reglas de acceso condicional específicas para Teams.
– Integrar soluciones de DLP y CASB para monitorizar el tráfico y detectar anomalías.
– Realizar simulaciones de phishing y campañas de concienciación sobre amenazas en Teams.
– Monitorizar logs y correlacionar eventos a través del SIEM corporativo.
Además, se aconseja mantener actualizado Teams y los endpoints asociados, ya que se han reportado vulnerabilidades (como CVE-2023-29336, RCE vía archivos adjuntos) explotables a través de canales externos.
Opinión de Expertos
Especialistas del sector, como los equipos de respuesta a incidentes de S21sec y Deloitte Cyber, valoran positivamente esta medida. “Limitar la superficie de ataque en aplicaciones de colaboración es fundamental para contener campañas dirigidas y reducir el riesgo de compromiso lateral”, explica Javier Martínez, analista SOC. A su vez, recalcan la importancia de combinar controles técnicos con formación continua y auditorías periódicas.
Implicaciones para Empresas y Usuarios
Las organizaciones, especialmente aquellas reguladas por NIS2 o bajo el paraguas del GDPR, ganan una herramienta crítica para reforzar su postura de seguridad y demostrar diligencia ante auditores. Para los usuarios, la medida puede suponer una reducción en la exposición a amenazas, aunque requiere equilibrar seguridad y usabilidad, evitando obstaculizar la colaboración legítima con partners externos.
Conclusiones
La evolución de Microsoft Teams hacia políticas de control más restrictivas sobre comunicaciones externas representa una mejora significativa en el blindaje frente a amenazas modernas. Dada la sofisticación de los ataques a plataformas colaborativas, resulta imprescindible que los equipos de seguridad revisen sus configuraciones, adopten una estrategia de “mínimo privilegio” y mantengan una vigilancia activa sobre los nuevos vectores de ataque.
(Fuente: www.bleepingcomputer.com)