Recientemente ha sido denunciada una nueva modalidad de estafa digital sofisticada que está poniendo en riesgo a quienes suelen usar las herramientas de Microsoft 365, dado que el engaño se basa en imitarlas. Sin embargo, este tipo de fraude es tan preciso que incluso usuarios cautelosos podrían caer en la trampa al intentar acceder a su correo o documentos de trabajo.

Si el número que lo llama comienza con alguno de estos tres dígitos, mejor no conteste: podría tratarse de spam

Un espejo que roba identidades

La denuncia llega a través de Unit 42 (Unidad 42), una división de élite de inteligencia sobre amenazas de Palo Alto, que señaló que, a diferencia de los ataques tradicionales donde se redirige a una página web maliciosa con una dirección extraña, este método utiliza una técnica llamada “Browser-in-the-Browser” (navegador dentro del navegador). En términos sencillos, el atacante crea una ventana falsa que flota dentro del sitio web que ya está visitando.

Los especialistas indican que, al momento de hacer clic en el botón de “Iniciar sesión”, aparece una ventana emergente que parece ser la oficial de Microsoft, mostrando incluso una dirección web (URL) que aparenta ser legítima para la identificación del usuario.

La técnica imita casi a la perfección el inicio de sesión oficial. Foto: Getty Images

Lo más inquietante es que esta ventana no es una imagen estática: puede arrastrarla por la pantalla, usar los botones de “atrás” o “actualizar”, y minimizarla, tal como si fuera una ventana real de tu navegador Chrome, Edge o Safari.

Camaleones digitales: Un diseño que cambia según tu equipo

Este ataque destaca por su capacidad de adaptación visual. Los investigadores han descubierto que el sistema es capaz de identificar qué tipo de computador o dispositivo está usando la persona.

Si se accede desde una Mac, la ventana de inicio de sesión tendrá el diseño característico de macOS; desde una PC, se verá exactamente como en Windows.

Lo mismo sucede con el navegador: la estafa se “disfraza” para coincidir con la apariencia de Firefox, Chrome o cualquier otro que se esté utilizando en ese momento, eliminando las pistas visuales que normalmente ayudan a sospechar de un sitio falso.

¿Se acabaron las estafas? Nueva función de Android alertará sobre llamadas falsas que imitan la voz de familiares y amigos

Trampas invisibles para evadir la seguridad

Los creadores de esta campaña han diseñado capas de protección para que sus herramientas de robo no sean descubiertas por expertos ni por programas de seguridad.

Si un bot analiza la página, es redirigido a un sitio legítimo de Microsoft. Foto: Getty Images

Entre sus tácticas se encuentran:

  • Si un programa de seguridad o un “bot” intenta analizar la página, el sitio lo detecta y lo redirige automáticamente a una página real de ayuda de Microsoft Office para parecer inofensivo.
  • Los atacantes rompen las cadenas de texto y el código en partes pequeñas para que los filtros de seguridad no reconozcan palabras clave sospechosas.
  • Utilizan lo que técnicamente se llama un “iframe” oculto; es como un sobre cerrado dentro de la ventana; es allí donde realmente ocurre el robo de datos, manteniéndolo separado del diseño visual para que sea mucho más difícil de analizar por los expertos.

Es importante tener en cuenta que el objetivo de estos delincuentes no es solo obtener la contraseña. Se han reportado casos en los que los ataques buscan robar “fichas de acceso”, que son permisos digitales que permiten a un atacante entrar a la cuenta incluso si tiene activada la verificación en dos pasos o MFA (el código que llega a tu celular).