jueves, julio 16, 2026

Correo malicioso en 2026: qué nos dice el panorama de amenazas de Microsoft

Share

El correo electrónico sigue siendo la puerta de entrada más usada para comprometer organizaciones, y no por falta de controles. Casi tres décadas después de los primeros filtros antispam, con pasarelas de seguridad de correo, sandboxing de adjuntos, autenticación multifactor y programas de concienciación instalados en la mayoría de las empresas medianas y grandes de Colombia y la región, el phishing y el Business Email Compromise (BEC) siguen encabezando los vectores de intrusión inicial. La razón no es técnica: es económica y humana. El correo es barato de enviar, difícil de eliminar como canal de negocio —ninguna organización puede simplemente apagarlo— y explota una superficie que ningún parche cubre: el juicio de una persona bajo presión de tiempo.

Microsoft, por el volumen de tráfico que procesa a través de Exchange Online, Outlook y Microsoft Defender for Office 365, es una de las pocas fuentes con visibilidad suficiente para hablar de tendencias con cifras reales en lugar de proyecciones. Este artículo revisa lo que sus informes más recientes de threat intelligence —el Microsoft Digital Defense Report (MDDR) 2024 y 2025, además de publicaciones del Microsoft Security Blog hasta el primer trimestre de 2026— dicen concretamente sobre phishing y BEC, qué tan lejos ha llegado la sofisticación de las campañas, y qué controles priorizar con presupuesto y tiempo limitados.

Qué dice realmente el panorama de amenazas de Microsoft sobre correo malicioso

El MDDR 2025, publicado en octubre de 2025, indica que Microsoft escanea 5,000 millones de correos electrónicos al día en busca de malware y phishing a través de su ecosistema de Microsoft 365. Es una cifra que conviene interpretar con precisión: no representa el volumen total de correo malicioso circulando en internet, sino el tráfico que pasa por la infraestructura de un solo proveedor, aunque sea el dominante en el segmento corporativo global. El dato es útil como termómetro de tendencia, no como censo universal de la amenaza.

Dentro de ese tráfico, el hallazgo más relevante para equipos de seguridad no es de volumen sino de impacto desproporcionado: según el MDDR 2025, el BEC representó apenas el 2% de las amenazas observadas por Microsoft, pero fue responsable del 21% de los resultados de ataque exitosos. La lectura es directa: los atacantes que ejecutan BEC son minoría numérica frente a las campañas masivas de phishing genérico, pero su tasa de éxito y el daño financiero por incidente son desproporcionadamente altos. Es un vector de bajo volumen y alto rendimiento, lo opuesto a la lógica de “spray and pray” que dominó el phishing durante años.

El informe también documenta la consolidación de una técnica de evasión que ha ganado terreno frente a las protecciones tradicionales: ClickFix, un método de ingeniería social que induce a la víctima a copiar y ejecutar código malicioso ella misma —típicamente bajo el pretexto de “resolver un error” o “verificar que no eres un robot”— en lugar de depender de un adjunto o enlace que un motor de sandboxing pueda inspeccionar. Al desplazar la ejecución del payload hacia una acción manual del usuario, ClickFix esquiva buena parte del análisis automatizado de archivos y URLs en el que se apoyan las pasarelas de correo.

Un año antes, el MDDR 2024 (noviembre de 2024) ya documentaba una cifra que conviene tener presente para dimensionar el problema en su conjunto: Microsoft reportó más de 600 millones de ataques diarios contra sus clientes, abarcando identidad, correo y otros vectores. Ese mismo informe encontró que el 54% de las campañas de phishing rastreadas suplantaban marcas de software y servicios —no bancos ni entidades gubernamentales, sino proveedores tecnológicos de uso cotidiano—, seguidas por servicios financieros (15%), retail (12%), medios (11%) y logística (5%). También identificó más de 10,000 dominios homoglifo activos, es decir, dominios que imitan visualmente marcas legítimas sustituyendo caracteres (por ejemplo, una “l” minúscula por una “I” mayúscula) para engañar tanto a usuarios como a filtros basados en listas de dominios conocidos.

Una advertencia necesaria sobre el alcance de estos datos: provienen del ecosistema Microsoft 365, lo que introduce un sesgo de muestra hacia organizaciones que ya usan Exchange Online, Outlook y Defender for Office 365 como su plataforma de correo. Esto no invalida las cifras —al contrario, la escala del ecosistema es justamente lo que las hace útiles como indicador de tendencia—, pero sí significa que no son directamente extrapolables a entornos con Google Workspace, infraestructura de correo on-premise u otros proveedores sin matizar. Para un CISO, la utilidad de estos informes está en la dirección del cambio (qué técnicas crecen, cuáles se estancan) más que en el valor absoluto de cada cifra.

De la campaña genérica al señuelo hiperdirigido: cómo cambiaron las técnicas

El phishing de hace una década se identificaba casi por reflejo: errores gramaticales, remitentes con dominios claramente falsos, urgencia artificial mal construida. Ese modelo no ha desaparecido —sigue siendo rentable contra objetivos de bajo valor—, pero ya no describe la amenaza que enfrenta una organización con activos que justifiquen esfuerzo dirigido. Tres cambios estructurales explican la diferencia.

Generación de señuelos con IA generativa

El MDDR 2024 documenta que actores de amenazas usan IA para automatizar phishing, escalar ingeniería social, generar medios sintéticos, acelerar la búsqueda de vulnerabilidades y producir malware capaz de adaptarse. El informe distingue matices por origen: actores vinculados a China favorecen el uso de imágenes generadas por IA en sus operaciones, mientras que actores vinculados a Rusia han priorizado herramientas de audio generado por IA. Microsoft también describe el surgimiento de técnicas como el “résumé swarming” —el envío masivo de hojas de vida fraudulentas generadas o adaptadas con IA contra procesos de reclutamiento, usado tanto para infiltración como para fraude de identidad— y el uso de deepfakes en campañas de ingeniería social más elaboradas.

El resultado práctico para un analista de seguridad es que los indicadores lingüísticos tradicionales —errores ortográficos, sintaxis forzada, formato inconsistente— ya no son un filtro confiable. Un modelo de lenguaje bien instruido produce correo corporativo gramaticalmente impecable, con el tono y las referencias contextuales correctas para una industria o un cargo específico. Según el MDDR 2025, el phishing impulsado por IA resulta hasta tres veces más efectivo que las campañas tradicionales, un salto de efectividad que obliga a rediseñar los controles de detección menos alrededor del contenido del mensaje y más alrededor del comportamiento del remitente, la infraestructura de envío y la telemetría de identidad.

Adversary-in-the-Middle (AiTM): el fin de la MFA como respuesta suficiente

El avance técnico más significativo del último ciclo no está en el señuelo sino en la infraestructura detrás de él. Los ataques AiTM colocan un proxy inverso entre la víctima y el proveedor de identidad legítimo (Microsoft Entra ID, Okta, Google). La víctima interactúa con una página que replica en tiempo real el flujo de autenticación genuino, completa usuario, contraseña y el segundo factor con total normalidad —porque efectivamente está autenticándose contra el servicio real a través del proxy— y en ese momento el atacante captura la cookie de sesión ya autenticada. El resultado es que la MFA no falla técnicamente: se completa con éxito y el atacante roba la prueba de autenticación que esa MFA generó, no la contraseña.

Esta técnica dejó de ser artesanal. Kits de phishing como Tycoon2FA, EvilProxy, Storm-1167 —actor que Microsoft rastrea directamente—, Sneaky2FA y el framework de código abierto Evilginx han industrializado el modelo como phishing-as-a-service, con precios reportados entre 100 y 1,000 USD mensuales según fuentes de la industria. La escala alcanzada por estas campañas es considerable: Microsoft Defender for Office 365 bloqueó más de 13 millones de correos maliciosos vinculados a campañas de Tycoon2FA solo en octubre de 2025, según el Microsoft Security Blog. Esto convierte al AiTM en la técnica dominante de compromiso de cuentas Microsoft 365 en el ciclo 2025-2026, y es la razón central por la que la MFA tradicional basada en códigos (SMS, TOTP, incluso push con number matching) ya no puede tratarse como control terminal, sino como una capa más dentro de una arquitectura de identidad más amplia.

Quishing y abuso de plataformas legítimas

El phishing por código QR (“quishing”) pasó de anécdota a técnica dominante en un lapso corto. Según datos de Microsoft citados a comienzos de 2026, los bloqueos de quishing pasaron de 7.6 millones en enero de 2026 a 18.7 millones en marzo del mismo año, un incremento del 146% en apenas 90 días, dentro de un volumen total de 8,300 millones de amenazas de phishing detectadas y analizadas por Microsoft en ese trimestre. A finales de 2024, aproximadamente el 25% de los ataques de phishing por correo ya usaban un código QR como señuelo principal, en segundo lugar después de los enlaces URL tradicionales (56%).

La lógica de evasión es simple y efectiva: un motor de análisis de correo que inspecciona texto y URLs no “lee” fácilmente una imagen embebida como una URL maliciosa, y el enlace real solo se revela cuando la víctima escanea el código con su teléfono personal, un dispositivo que normalmente está fuera del perímetro de control corporativo (sin el mismo EDR, sin las mismas políticas de Conditional Access, a veces sin gestión MDM). A esto se suma el abuso de plataformas legítimas para hospedaje: dado que Microsoft, SharePoint y OneDrive son suplantados en más de la mitad de los ataques observados (superior al 51% según reportes recientes del ecosistema), los atacantes alojan páginas de phishing y códigos QR dentro de sitios reales de SharePoint pertenecientes a cuentas ya comprometidas, o utilizan servicios externos de generación de QR (como me-qr.com, citado en investigaciones recientes) para añadir un salto adicional que dificulta el análisis automatizado. El correo que llega a la bandeja de entrada apunta a un dominio *.sharepoint.com genuino, con certificado TLS válido y reputación de dominio impecable —exactamente lo que las reglas basadas en reputación de dominio están diseñadas para confiar.

Lo que este panorama significa específicamente para el BEC

El Business Email Compromise merece tratamiento aparte del phishing masivo porque el modelo de negocio del atacante es distinto. No busca un clic en un enlace ni la ejecución de malware: busca que un humano autorizado mueva dinero o datos sensibles voluntariamente, creyendo que actúa sobre una instrucción legítima. Esto lo hace, en muchos casos, invisible para controles diseñados para detectar payloads.

El MDDR 2025 describe una evolución hacia un modelo de servicio profesionalizado: intermediarios de acceso (access brokers) venden credenciales robadas y buzones de correo completos a operadores de BEC, quienes automatizan la selección de objetivos y el fraude de pagos a escala. Esto reduce la barrera de entrada —ya no se requiere que el mismo actor obtenga el acceso inicial y ejecute el fraude financiero— y acelera la monetización mediante extorsión, fraude de facturas y toma de control de cuentas. El informe vincula el BEC directamente con el compromiso de identidad: manipulación de reglas de bandeja de entrada para ocultar correos de alerta, secuestro de hilos de conversación legítimos (thread hijacking) para insertar instrucciones fraudulentas dentro de una cadena real, registro de nuevos métodos de MFA por parte del atacante tras comprometer una sesión, y manipulación directa de la configuración de MFA de la cuenta.

Las cifras del FBI Internet Crime Complaint Center (IC3), en su reporte anual correspondiente a 2025, sitúan al BEC como el segundo tipo de delito por pérdidas financieras totales reportadas en Estados Unidos: 24,768 quejas y 3,050 millones de dólares en pérdidas reportadas, frente a 21,442 quejas y 2,770 millones de dólares en 2024 —un incremento interanual de aproximadamente 16% en volumen de quejas y 10% en pérdidas. El IC3 documenta también que el 86% de las pérdidas por BEC se transmitieron por transferencia bancaria o ACH, lo que explica por qué la ventana de recuperación es tan estrecha: para cuando el área financiera detecta la anomalía, el dinero ya cruzó fronteras jurisdiccionales y pasó por varias cuentas intermedias.

Las tipologías más recurrentes documentadas por la industria —fraude de facturas de proveedor con cambio de cuenta bancaria, suplantación de ejecutivo (CEO fraud), compromiso de cuenta de proveedor real seguido de una solicitud de pago “actualizada”, y desvío de nómina— comparten un patrón: no requieren malware. El correo que ejecuta el fraude puede no contener ningún adjunto ni enlace, solo texto bien escrito, con contexto correcto (nombres de proyectos reales, montos verosímiles, tono adecuado al remitente suplantado) y una urgencia calibrada para evitar que la víctima verifique por un canal alterno. Esto es exactamente el tipo de contenido que un modelo de lenguaje generativo produce con facilidad y que ningún motor de sandboxing de archivos va a detectar, porque no hay archivo que analizar.

Marco de mitigación: qué controles responden a esta amenaza en la práctica

Frente a estas técnicas, un programa de seguridad de correo efectivo necesita actuar en tres capas que se refuerzan mutuamente: autenticación del canal de correo, arquitectura de identidad, y comportamiento humano como última línea —no como primera.

Autenticación y controles a nivel de correo

  • DMARC en modo de aplicación (enforcement), no solo monitoreo. Publicar un registro DMARC con política p=none sirve únicamente para obtener visibilidad de qué está enviando correo en nombre de un dominio; no bloquea nada. El valor real de protección contra suplantación del propio dominio llega con p=quarantine o p=reject, una vez que SPF y DKIM están correctamente alineados con las fuentes de envío legítimas identificadas durante la fase de monitoreo. Microsoft recomienda explícitamente una progresión gradual —none, luego quarantine, luego reject— para evitar bloquear correo legítimo por error de configuración, y desde mayo de 2025 exige a remitentes de alto volumen (5,000 o más correos diarios hacia outlook.com, hotmail.com y live.com) cumplir con SPF, DKIM y al menos DMARC en p=none con alineación, bajo pena de rechazo del mensaje. Esto eleva el estándar mínimo de higiene de correo esperado en todo el ecosistema, incluidas las organizaciones que envían facturas y comunicaciones a clientes.
  • Banners de remitente externo y marcado visual de primer contacto. Una etiqueta visible que indique “este correo proviene de fuera de la organización” reduce, aunque no elimina, el éxito del thread hijacking y la suplantación de dominio similar (typosquatting), porque reintroduce una señal visual que la lectura rápida en móvil tiende a omitir.
  • Análisis de comportamiento e infraestructura de envío, no solo de contenido. Dado que el contenido generado por IA ya no es distinguible por gramática o formato, la detección efectiva depende de señales como reputación de IP de origen, patrones de envío anómalos, y correlación entre remitente aparente y la infraestructura real que originó el mensaje.

Arquitectura de identidad

  • MFA resistente a phishing como estándar para cuentas privilegiadas. Frente a AiTM, no todos los factores de autenticación tienen el mismo valor. La jerarquía, de más a menos resistente, va de llaves de seguridad FIDO2 y Windows Hello for Business (ambos vinculados criptográficamente al dispositivo, sin secreto compartido que un proxy pueda interceptar) a Microsoft Authenticator con number matching, códigos TOTP y, en el escalón más débil, SMS. Cuentas de administración, finanzas y dirección —los objetivos naturales del BEC— deberían migrar a FIDO2 o passkeys como prioridad, no como aspiración de largo plazo.
  • Conditional Access con evaluación continua de riesgo. Políticas que evalúen ubicación, dispositivo, aplicación y nivel de riesgo de la sesión en cada acceso —no solo en el login inicial— permiten detectar el uso de una cookie de sesión robada desde una geografía o dispositivo inconsistente con el patrón habitual del usuario, incluso cuando la MFA ya fue superada por un atacante.
  • Detección de manipulación de buzón y de MFA. Reglas de bandeja de entrada creadas para ocultar correos de un remitente específico, o el registro de un nuevo método de autenticación fuera de horario habitual, son indicadores de compromiso de alta confianza que deberían generar alertas automáticas, no depender de revisión manual periódica.

El rol de la capacitación: necesario, insuficiente por sí solo

Los simulacros de phishing y la formación continua siguen siendo defendibles, pero hay que ser honestos sobre su techo. Un correo generado con IA, indistinguible en tono y gramática de la comunicación legítima, que llega desde un dominio de SharePoint real con certificado válido, y que pide una acción dentro del flujo normal de trabajo de la víctima, va a superar el juicio humano con una frecuencia que ningún programa de concienciación reduce a cero. La capacitación reduce la superficie de error humano; no la elimina, y apostar el programa de seguridad de correo únicamente a que el usuario “se dé cuenta” es una estrategia que los datos de AiTM y BEC ya refutaron. El valor de la capacitación está en instalar un reflejo específico y verificable —confirmar cambios de cuenta bancaria o instrucciones de pago inusuales por un canal alterno preestablecido, nunca respondiendo al mismo hilo de correo— más que en enseñar a “reconocer phishing” de forma genérica.

Postura de CIBER-TEC: dónde poner el presupuesto primero

Con presupuesto y horas de ingeniería limitados, no todos los controles devuelven el mismo retorno en reducción de riesgo real. La evidencia revisada aquí apunta a una priorización clara.

Primero, DMARC en enforcement (p=quarantine o p=reject) con SPF y DKIM correctamente alineados. Es el control de menor costo operativo relativo y mayor impacto contra la suplantación directa del dominio propio, y su ausencia sigue siendo sorprendentemente común en organizaciones colombianas y latinoamericanas de tamaño medio, muchas de las cuales permanecen en p=none años después de publicar el registro. Segundo, MFA resistente a phishing (FIDO2 o passkeys) para toda cuenta con acceso financiero, administrativo o de dirección, no como piloto sino como requisito de acceso. Frente a un panorama donde el AiTM es ya la técnica dominante de compromiso de Microsoft 365, mantener SMS o TOTP como segundo factor en cuentas de alto valor es aceptar un riesgo que hoy tiene solución técnica disponible y madura. Tercero, Conditional Access con evaluación continua de riesgo de sesión, que actúa como red de contención cuando las dos capas anteriores fallan o no están aún desplegadas al 100%.

La capacitación de usuarios y los simulacros de phishing deben mantenerse, pero como cuarta capa, no como primera línea de defensa. El error de diseño más común que observamos en programas de seguridad de correo es invertir de forma desproporcionada en formación —que es visible, medible en tasas de clic y fácil de reportar a junta directiva— mientras el enforcement de DMARC queda en p=none indefinidamente y las cuentas de finanzas siguen protegidas con un código SMS que un kit de phishing-as-a-service de 100 dólares mensuales puede interceptar sin que la víctima note nada anormal. La recomendación práctica es directa: antes de programar el próximo simulacro de phishing, verifique en qué estado de enforcement está su registro DMARC y qué porcentaje de sus cuentas privilegiadas todavía dependen de un factor de autenticación vulnerable a AiTM. Esas dos respuestas dicen más sobre la exposición real de la organización que cualquier tasa de clics en una campaña simulada.

Read more

Local News