{"id":30982,"date":"2025-05-30T16:16:52","date_gmt":"2025-05-30T14:16:52","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=30982"},"modified":"2025-05-30T16:18:27","modified_gmt":"2025-05-30T14:18:27","slug":"microsoft-365-purchase-email-scam","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/microsoft-365-purchase-email-scam\/30982\/","title":{"rendered":"Estafadores se aprovechan de las notificaciones empresariales de Microsoft para lanzar ataques"},"content":{"rendered":"

Para que un ataque por correo electr\u00f3nico tenga \u00e9xito, lo primero que deben hacer los ciberdelincuentes es hacer llegar sus mensajes a las posibles v\u00edctimas. En una publicaci\u00f3n<\/a> reciente, cubrimos c\u00f3mo los estafadores aprovecharon las notificaciones de GetShared, un servicio completamente leg\u00edtimo para compartir archivos de gran tama\u00f1o. Hoy, examinamos otro m\u00e9todo para entregar correos electr\u00f3nicos maliciosos. Los operadores detr\u00e1s de esta estafa han aprendido a insertar texto personalizado en mensajes de agradecimiento genuinos enviados por Microsoft 365 a sus nuevos suscriptores empresariales.<\/p>\n

Un correo electr\u00f3nico aut\u00e9ntico de Microsoft con una desagradable sorpresa en su interior<\/h2>\n

El ataque comienza con un correo electr\u00f3nico leg\u00edtimo en el que Microsoft agradece al destinatario la compra de una suscripci\u00f3n a Aplicaciones de Microsoft 365 para empresas<\/a>. De hecho, el correo electr\u00f3nico proviene de la direcci\u00f3n leg\u00edtima del gigante tecnol\u00f3gico de Redmond: microsoft-noreply@microsoft.com. Ser\u00eda dif\u00edcil imaginar una direcci\u00f3n de correo electr\u00f3nico con una reputaci\u00f3n m\u00e1s confiable, por lo que el mensaje pasa f\u00e1cilmente cualquier filtro de servidor de correo electr\u00f3nico.<\/p>\n

Una vez m\u00e1s, para que quede claro: se trata de un correo electr\u00f3nico leg\u00edtimo de Microsoft. El contenido coincide con una confirmaci\u00f3n de compra t\u00edpica. En la siguiente captura de pantalla, la empresa agradece al destinatario la compra de 55 suscripciones a Aplicaciones de Microsoft 365 para empresas por un valor total de 587,95 $.<\/p>\n

\"Estafa<\/a>

Ejemplo de una notificaci\u00f3n empresarial de Microsoft en la que los atacantes insertaron su mensaje en la secci\u00f3n Informaci\u00f3n de facturaci\u00f3n<\/p><\/div>\n

El quid de la estafa radica en el texto que los atacantes a\u00f1aden a la secci\u00f3n de informaci\u00f3n de facturaci\u00f3n. Normalmente, esta secci\u00f3n contiene el nombre de la empresa suscriptora y la direcci\u00f3n de facturaci\u00f3n. Sin embargo, los estafadores cambian esa informaci\u00f3n por su propio n\u00famero de tel\u00e9fono, adem\u00e1s de una nota en la que animan al destinatario a llamar a \u201cMicrosoft\u201d si necesita ayuda. Los tipos de suscripciones \u201cadquiridas\u201d sugieren que los estafadores se dirigen a los empleados de la empresa.<\/p>\n

Se aprovechan de un temor com\u00fan entre los empleados: hacer una compra costosa e innecesaria podr\u00eda causar problemas en el trabajo. Y como no es posible resolver el problema por correo electr\u00f3nico (el mensaje proviene de una direcci\u00f3n de no respuesta), la v\u00edctima no tiene m\u00e1s remedio que llamar al n\u00famero de tel\u00e9fono proporcionado.<\/p>\n

\u00bfQui\u00e9n contesta las llamadas y qu\u00e9 sucede a continuaci\u00f3n?<\/h2>\n

Si la v\u00edctima muerde el anzuelo y decide llamar para preguntar sobre las suscripciones que supuestamente han comprado, los estafadores despliegan trucos de ingenier\u00eda social<\/a>.<\/p>\n

Un usuario de Reddit, que hab\u00eda recibido un correo electr\u00f3nico similar y llam\u00f3 al n\u00famero, comparti\u00f3 su experiencia<\/a>. Seg\u00fan la v\u00edctima, la persona que atendi\u00f3 la llamada insisti\u00f3 en instalar un software de soporte y envi\u00f3 un archivo EXE. La conversaci\u00f3n posterior sugiere que el archivo conten\u00eda alg\u00fan tipo de RAT<\/a>.<\/p>\n

La v\u00edctima no sospech\u00f3 nada hasta que el estafador prometi\u00f3 devolverle el dinero a su cuenta bancaria. Eso fue una se\u00f1al de alarma, ya que no deber\u00eda haber tenido acceso a los datos bancarios de la v\u00edctima. El estafador le pidi\u00f3 a la v\u00edctima que iniciara sesi\u00f3n en su banca electr\u00f3nica para verificar si la transacci\u00f3n se hab\u00eda realizado.<\/p>\n

La v\u00edctima cree que el software instalado en su ordenador era un malware que habr\u00eda permitido a los atacantes interceptar sus credenciales de inicio de sesi\u00f3n. Afortunadamente, se dio cuenta del peligro a tiempo y colg\u00f3. Dentro del mismo hilo, otros usuarios de Reddit informaron de correos electr\u00f3nicos similares<\/a> que conten\u00edan varios datos de contacto.<\/p>\n

C\u00f3mo los estafadores env\u00edan correos electr\u00f3nicos de phishing desde una direcci\u00f3n aut\u00e9ntica de Microsoft<\/strong><\/h2>\n

C\u00f3mo consiguen exactamente los atacantes enviar notificaciones de Microsoft a sus v\u00edctimas sigue siendo un misterio. La explicaci\u00f3n<\/a> m\u00e1s probable vino de otro usuario de Reddit, quien sugiri\u00f3 que los estafadores estaban usando credenciales robadas o versiones de prueba para acceder a Microsoft 365. Al usar el campo CCO o simplemente introducir la direcci\u00f3n de correo electr\u00f3nico de la v\u00edctima al comprar una suscripci\u00f3n, pueden enviar mensajes como el que se muestra en la captura de pantalla anterior.<\/p>\n

Una teor\u00eda alternativa es que los estafadores acceden a una cuenta con una suscripci\u00f3n activa de Microsoft 365 y luego utilizan la funci\u00f3n de reenv\u00edo de informaci\u00f3n de facturaci\u00f3n, especificando al usuario objetivo como destinatario.<\/p>\n

Cualquiera que sea la verdad, el objetivo de los atacantes es reemplazar la informaci\u00f3n de facturaci\u00f3n, la \u00fanica parte de la notificaci\u00f3n de Microsoft que pueden modificar, por su propio n\u00famero de tel\u00e9fono.<\/p>\n

C\u00f3mo protegerse contra este tipo de ataques<\/h2>\n

Los actores maliciosos siguen encontrando nuevas lagunas en servicios conocidos y perfectamente leg\u00edtimos para utilizarlos en campa\u00f1as de phishing y estafas. Por eso, para mantener segura una organizaci\u00f3n, no solo se necesitan protecciones t\u00e9cnicas sino tambi\u00e9n controles administrativos. Esto es lo que recomendamos:<\/p>\n