Robo de credenciales y bypass de MFA en campaña de phishing corporativo

A mediados de abril de 2026 se identificó una campaña de phishing en múltiples etapas, dirigida a más de 35 000 usuarios en 13 000 organizaciones y que utiliza correos verosímiles sobre infracciones del código de conducta, servicios de correo legítimos y un esquema adversary‑in‑the‑middle (AiTM) para robar credenciales y tokens de Microsoft, lo que permite a los atacantes eludir la autenticación multifactor; el mayor riesgo recae en organizaciones de EE. UU. de los sectores sanitario, financiero, de servicios profesionales y tecnológico, que deben revisar la protección del correo, la política de acceso y su enfoque de MFA.

Detalles técnicos de la campaña y del panorama de amenazas de correo

La campaña se observó entre el 14 y el 16 de abril de 2026 y se dirigió principalmente a usuarios en EE. UU. (92 % de los objetivos). El vector principal fue el phishing por correo electrónico con estilo de notificaciones corporativas, lo que se encuadra en la técnica phishing según MITRE ATT&CK T1566.

Señuelo de «código de conducta» y ingeniería social basada en presión

Los mensajes se presentan como comunicaciones internas sobre la revisión de presuntas infracciones del código de conducta: se utilizan nombres para mostrar como «Internal Regulatory COC», «Workforce Communications», «Team Conduct Report» y asuntos como «Internal case log issued under conduct policy» o «Reminder: employer opened a non-compliance case log».

Elementos clave que aumentan la tasa de éxito del ataque:

• plantillas HTML pulidas con maquetación típica corporativa y «declaraciones de autenticidad» en la parte superior del correo («mensaje emitido a través de un canal interno autorizado», «enlaces y archivos adjuntos verificados»);
• tono acusatorio (un supuesto incidente de incumplimiento de políticas) y múltiples llamadas «urgentes» a la acción con límite de tiempo;
• presencia de un archivo PDF adjunto que promete detalles de la investigación y anima a hacer clic en el enlace dentro del documento.

Esta combinación explota no solo la confianza en los canales «internos», sino también el miedo a las consecuencias disciplinarias, reduciendo el nivel crítico con el que el usuario percibe el mensaje.

Cadena de ataque: de CAPTCHA a AiTM y robo de tokens

Técnicamente, la cadena está diseñada para aumentar la credibilidad y, al mismo tiempo, dificultar la detección automática:

• Envío de correos desde un servicio de entrega de correo legítimo. Esto permite que los mensajes superen con éxito SPF/DKIM/DMARC y no despierten sospechas en los filtros basados en reputación.
• Acceso mediante el enlace incluido en el PDF. La redirección pasa por varias páginas intermedias y una CAPTCHA, lo que genera en la víctima la sensación de estar accediendo a un recurso «protegido» y filtra parte de los escáneres automáticos.
• Etapa final: página de inicio de sesión AiTM. El recurso final imita la página de inicio de sesión de Microsoft, pero implementa un esquema adversary‑in‑the‑middle, descrito en MITRE ATT&CK T1557: el atacante actúa como «proxy» entre el usuario y la página de inicio de sesión legítima.

Como resultado, los delincuentes interceptan en tiempo real no solo el usuario y la contraseña, sino también los tokens de sesión, lo que les permite:

• eludir incluso una MFA correctamente configurada, ya que el token confirma que la verificación ya se ha superado; y
• tomar el control de sesiones activas sin introducir la contraseña ni repetir la MFA.

La página final, además, se adapta al dispositivo (móvil o de escritorio), lo que reduce aún más la probabilidad de que el usuario sospeche que se trata de una falsificación.

Datos de Microsoft sobre amenazas de correo en el Q1 de 2026

En su análisis ampliado de enero a marzo de 2026, Microsoft registra:

• unos 8,3 mil millones de amenazas de phishing por correo durante el trimestre;
• casi el 80 % de los ataques son de enlaces, con predominio de archivos HTML y ZIP de gran tamaño como vectores de descargas maliciosas o formularios de phishing;
• el objetivo principal de los ataques es el robo de credenciales; la proporción de entrega de malware disminuye hasta el 5–6 % a finales del trimestre;
• un fuerte crecimiento del QR‑phishing: de 7,6 millones de ataques en enero a 18,7 millones en marzo (un aumento del 146 %), incluyendo la inserción de códigos QR directamente en el cuerpo del correo;
• fluctuaciones, pero un volumen global elevado de ataques de tipo business email compromise (BEC): 10,7 millones de campañas en el trimestre, con un pico de más de 4 millones en marzo de 2026.

El cambio de prioridades del malware al robo de credenciales subraya una vez más que el activo principal de los atacantes ahora es la identidad y los tokens, y no la infección de estaciones de trabajo.

Contexto de la amenaza: plataformas PhaaS y evasión del «radar»

PhaaS y cambio de infraestructura de Tycoon 2FA

Microsoft señala que la infraestructura de las páginas de phishing finales de la campaña se solapa con varias plataformas de «phishing as a service» (PhaaS): Tycoon 2FA, Kratos (antes Sneaky 2FA) y EvilTokens. Esto encaja en la técnica MITRE ATT&CK T1583 Acquire Infrastructure, en la que el alquiler y la reutilización de infraestructura minimizan los costes para los atacantes.

Tras una operación coordinada para interrumpir Tycoon 2FA en marzo de 2026, los operadores del servicio dejaron de utilizar Cloudflare y repartieron sus dominios entre otras plataformas de alojamiento, seleccionando análogos con mecanismos de contranálisis y protección frente a bloqueos equiparables. Esto indica lo siguiente:

• los operadores de PhaaS disponen de una gestión de infraestructura madura y están preparados para migrar con rapidez cuando los defensores ejercen presión;
• una misma campaña de phishing puede apoyarse simultáneamente en varias PhaaS, aumentando su resiliencia y dificultando el bloqueo basándose en dominios y características de alojamiento.

Abuso de Amazon SES como transporte de confianza

Paralelamente, Microsoft y Kaspersky observan un aumento de campañas de phishing y BEC que utilizan Amazon Simple Email Service (SES) para la entrega. El elemento clave del ataque es la filtración o la exposición de AWS access keys para acceder a SES.

Cuando un atacante obtiene una clave de este tipo, puede:

• enviar campañas masivas de phishing desde un dominio y direcciones IP en los que ya confían los usuarios y los filtros;
• superar SPF, DKIM y DMARC como remitente «legítimo»;
• evitar los costes de crear y «calentar» su propia infraestructura de correo.

Según Kaspersky, la «insidia» de estos ataques reside precisamente en que externamente no se diferencian del tráfico legítimo: los dominios e IP no parecen sospechosos y los enlaces llevan a páginas de inicio de sesión verosímiles que roban credenciales.

Evaluación del impacto

En la campaña analizada, los principales afectados fueron sobre todo organizaciones de los siguientes sectores:

• sanidad y life sciences (19 % de los objetivos);
• servicios financieros (18 %);
• servicios profesionales (11 %);
• tecnología y software (11 %).

La característica clave del riesgo es el robo de tokens y la evasión de la MFA. Esto genera una serie de consecuencias:

• Compromiso de la correspondencia empresarial y de las cadenas de pago. Con acceso al correo y a los sistemas internos, los atacantes pueden iniciar o escalar esquemas BEC, modificando los datos de pago, sustituyendo documentos y comunicándose en nombre de la dirección.
• Escalada de privilegios a través de servicios en la nube. Si se compromete una cuenta con privilegios administrativos, es posible modificar la configuración de seguridad, crear nuevas cuentas y establecer puntos de presencia persistentes.
• Riesgos para los datos confidenciales. El acceso al correo, a los repositorios de documentos y a los sistemas de gestión en los sectores sanitario y financiero conlleva una posible filtración de datos sensibles sujetos a regulación.
• Socavamiento de la confianza en la MFA. Ante ataques AiTM exitosos, la empresa puede concluir erróneamente que «la MFA no funciona», cuando en realidad el problema radica en el uso de métodos vulnerables al robo de tokens y en la ausencia de comprobaciones adicionales del contexto de la sesión.

Recomendaciones prácticas de protección

1. Refuerzo de la autenticación y protección de tokens

• Adoptar métodos de MFA resistentes al phishing (claves FIDO2, tokens hardware, soluciones sin contraseña), limitando en la medida de lo posible el uso de códigos de un solo uso y notificaciones push.
• Implantar políticas estrictas de acceso condicional: prohibir protocolos obsoletos, exigir dispositivos gestionados y conformes con la política para acceder a aplicaciones críticas.
• Limitar el tiempo de vida de los tokens de sesión para las aplicaciones de mayor riesgo y habilitar mecanismos de revocación de tokens ante actividad sospechosa.

2. Protección del correo y gestión del contenido de los mensajes

• Configurar reglas de alta criticidad para correos:
  • con asuntos relacionados con el código de conducta, medidas disciplinarias o «internal case log»,
  • que supuestamente provengan de departamentos de RR. HH./Compliance pero se envíen a través de servicios externos de entrega.
• Prohibir o limitar la apertura automática de archivos PDF adjuntos que contengan enlaces externos; activar el escaneo preventivo de dichos documentos.
• Utilizar funciones de reescritura de enlaces y análisis de las páginas de destino, prestando especial atención a las cadenas con varias redirecciones y CAPTCHA.
• Para los códigos QR en correos, implementar un análisis previo de la URL de destino antes de redirigir al usuario.

3. Monitorización y búsqueda de indicios de compromiso

• Supervisar anomalías de inicio de sesión:
  • inicios desde nuevos países o regiones poco después de recibir correos «disciplinarios»,
  • patrones inusuales de dispositivos (por ejemplo, cambio de móvil a escritorio o viceversa sin una razón aparente).
• Configurar alertas sobre fallos masivos de MFA o numerosos intentos de inicio de sesión para una misma cuenta.
• Realizar de forma periódica threat hunting en busca de indicadores de páginas de phishing AiTM (dominios no estándar, plantillas HTML de inicio de sesión repetitivas, cabeceras de respuesta características), basándose en los TTP conocidos descritos en la descripción de la técnica AiTM.

4. Control de acceso a Amazon SES y otros servicios de correo

• Llevar a cabo un inventario y la rotación de las AWS access keys utilizadas para Amazon SES; activar la monitorización de actividad de envío anómala.
• Minimizar los privilegios de las claves (principio de privilegio mínimo) y utilizar claves separadas para distintas aplicaciones.
• Integrar las señales de envío desde Amazon SES en los sistemas de correlación de eventos (SIEM) para distinguir los envíos legítimos de una actividad masiva inesperada.

La principal conclusión para las organizaciones es que deben considerar las campañas de phishing por correo con AiTM y robo de tokens como una amenaza contra la identidad, y no simplemente como «spam malicioso», y en el corto plazo revisar la política de autenticación, la filtración del correo y la monitorización de la actividad de forma que la combinación de métodos de MFA resistentes al phishing, acceso condicional y control de los tokens de sesión se convierta en un estándar de protección y no en una opción adicional.