Los estafadores utilizan el envío directo de Microsoft 365 para falsificar correos electrónicos dirigidos a empresas estadounidenses.

Los estafadores están explotando el envío directo de Microsoft 365 para falsificar correos electrónicos internos dirigidos a empresas estadounidenses que eluden los filtros de seguridad con ataques de phishing utilizando mensajes de voz falsos y códigos QR.

Los investigadores de seguridad cibernética de Varonis Threat Labs han expuesto una nueva y sofisticada campaña de phishing que explota una característica poco conocida de Microsoft 365 para enviar correos electrónicos maliciosos.

Este ataque, que comenzó en mayo de 2025 y ha estado activo de forma constante, ya ha atacado a más de 70 organizaciones, de las cuales una gran mayoría (el 95 %) tiene su sede en Estados Unidos.

El aspecto único de esta campaña es su capacidad de "engañar a los usuarios internos sin necesidad de comprometer una cuenta", lo que la hace particularmente difícil de detectar para los sistemas de seguridad de correo electrónico tradicionales, señalaron los investigadores en la publicación del blog compartida con Hackread.com.

La campaña aprovecha la función de Envío Directo de Microsoft 365, diseñada para que dispositivos internos como impresoras envíen correos electrónicos sin necesidad de autenticación del usuario. Según Varonis, los atacantes están abusando de esta función.

Tom Barnea, de Varonis Threat Labs, destacó en el informe que este método funciona porque "no se requieren credenciales ni inicio de sesión". Los atacantes simplemente necesitan algunos datos públicos, como el dominio de la empresa y los formatos de las direcciones de correo electrónico internas, que suelen ser fáciles de adivinar.

Mediante el envío directo, los delincuentes pueden crear correos electrónicos que parecen provenir de una organización, aunque provengan de una fuente externa. Esto permite que los mensajes maliciosos eludan las comprobaciones de seguridad habituales del correo electrónico, ya que los filtros de Microsoft y las soluciones de terceros suelen tratarlos como comunicaciones internas legítimas.

Además, Varonis observó que estos correos electrónicos falsificados suelen simular notificaciones de correo de voz, con un archivo PDF adjunto con un código QR. Al escanear este código QR, las víctimas acceden a una página de inicio de sesión falsa de Microsoft 365 diseñada para robar credenciales.

Las organizaciones deben estar atentas para detectar esta nueva forma de ataque. Varonis recomienda revisar los encabezados de los mensajes de correo electrónico en busca de indicios como direcciones IP externas que envían a un host inteligente de Microsoft 365 (p. ej., nombredelinquilino.mail.protection.outlook.com), o fallos en las comprobaciones de autenticación como SPF, DKIM o DMARC para dominios internos. Pistas de comportamiento, como correos electrónicos enviados por un usuario a sí mismo o mensajes procedentes de ubicaciones geográficas inusuales sin actividad de inicio de sesión correspondiente, también son indicadores importantes.

Para evitar ser víctima, Varonis recomienda habilitar la opción "Rechazar envío directo" en el Centro de administración de Exchange e implementar una política DMARC estricta. La formación de los usuarios es fundamental, en particular advertir al personal sobre los peligros de los archivos adjuntos con códigos QR en los ataques de phishing ( QR Phishing ).

Por último, aplicar la autenticación multifactor (MFA) para todos los usuarios y tener políticas de acceso condicional implementadas puede proteger las cuentas incluso si las credenciales son robadas a través de estos sofisticados intentos de phishing.