Cómo los estafadores están usando los propios sistemas de Microsoft para enviar phishing

En la práctica, el atacante inyecta contenido de phishing dentro de una notificación real generada por Microsoft.

Técnicas de evasión utilizadas

Los investigadores también observaron varios trucos para aumentar la eficacia del fraude y evitar los filtros automáticos.

• Manipulación de la línea de asunto: se introducen mensajes largos dentro de campos de marca para que el texto fraudulento domine el asunto o la vista previa.
• Sustitución de caracteres: se utilizan letras visualmente similares (homoglifos) para evadir filtros basados en palabras clave.
• Ofuscación de números de teléfono: los números se escriben con caracteres inusuales o letras para evitar la detección automática.

Estas tácticas ayudan a que el correo pase los filtros antispam y aún así transmita el mensaje fraudulento al usuario.

Por qué estos correos parecen auténticos

El aspecto más peligroso de esta campaña es que los mensajes no están simplemente falsificados.

Como los correos son enviados desde los propios sistemas de Microsoft, pueden pasar verificaciones técnicas como SPF, DKIM y DMARC, mecanismos que muchos servidores utilizan para confirmar que un remitente es legítimo.

Además, los destinatarios ven una dirección asociada con alertas reales de seguridad de Microsoft, lo que aumenta la confianza incluso cuando el contenido del mensaje es sospechoso.

La combinación de infraestructura confiable y contenido manipulado hace que estos correos resulten mucho más convincentes que un phishing típico.

Qué han reportado investigadores y grupos antispam

Las investigaciones indican que el abuso lleva varios meses ocurriendo.

Entre los hallazgos reportados:

• Múltiples correos fraudulentos enviados desde la dirección oficial de notificaciones de Microsoft.
• Mensajes con temas de compras falsas, problemas de facturación o solicitudes urgentes de soporte.
• Uso de numerosos tenants desechables de Microsoft 365 en un patrón de "crear y abandonar" para evitar bloqueos.

Grupos dedicados a combatir el spam han criticado que los sistemas de notificación automatizados permitan tanta personalización, lo que puede convertir una plataforma confiable en un canal para ataques si no existen controles suficientes.

También se ha señalado que, en el momento de los reportes iniciales, Microsoft no había confirmado públicamente cuál era exactamente la causa técnica del problema.

Cómo detectar un correo sospechoso de Microsoft

Dado que la dirección del remitente puede ser real, es importante analizar el contexto del mensaje, no solo quién lo envía.

Algunas señales de alerta incluyen:

• Alertas de compras o fraudes que no reconoces
• Mensajes que te piden llamar urgentemente a un número de teléfono
• Enlaces que solicitan resolver problemas de pago o ver facturas inesperadas
• Códigos de verificación para acciones que nunca solicitaste

Incluso si el remitente parece legítimo, el contenido puede ser engañoso.

Qué hacer si recibes uno de estos correos

Si un mensaje de Microsoft te resulta sospechoso:

• No hagas clic en enlaces ni llames a números incluidos en el correo.
• Abre los servicios de Microsoft escribiendo la dirección oficial en tu navegador.
• Revisa la actividad de tu cuenta directamente desde el panel de seguridad.
• Marca el correo como phishing en tu cliente de email o repórtalo a tu equipo de TI si es una cuenta corporativa.
• Si interactuaste con el mensaje, cambia tu contraseña y revisa los accesos recientes.

Este incidente refleja una tendencia creciente en la ciberseguridad: en lugar de usar dominios falsos, muchos atacantes intentan aprovechar infraestructuras legítimas y servicios confiables para distribuir sus engaños. Cuando el propio sistema de una plataforma envía el mensaje, las señales tradicionales de confianza dejan de ser suficientes para detectar el fraude.