Un nuevo informe de Check Point Software alerta sobre una sofisticada campaña de phishing a gran escala que abusó de plataformas legítimas de software como servicio para distribuir estafas telefónicas altamente creíbles, aprovechando la confianza y reputación de marcas tecnológicas ampliamente utilizadas por empresas y usuarios.
La investigación documenta el envío de aproximadamente 133.260 correos fraudulentos, que afectaron a más de 20.000 organizaciones a nivel global. A diferencia de las campañas tradicionales, los atacantes no recurrieron a dominios falsos ni a la vulneración directa de sistemas, sino que manipularon funcionalidades legítimas de plataformas SaaS para generar notificaciones auténticas, completamente validadas y difíciles de detectar.
Entre las marcas utilizadas de forma abusiva se identificaron servicios ampliamente conocidos como Microsoft, Zoom, Amazon, PayPal, YouTube y Malwarebytes, cuyos flujos nativos de notificación fueron aprovechados para insertar mensajes de estafa que inducían a las víctimas a contactar números telefónicos controlados por los atacantes.
Según el informe, esta campaña forma parte de una tendencia en fuerte crecimiento. Solo en los últimos seis meses se detectaron cerca de 648 mil correos de phishing basados en abuso de SaaS, mientras que en los últimos tres meses la cifra superó los 460 mil mensajes, evidenciando una aceleración significativa de este tipo de amenazas.
Desde Check Point explican que este fenómeno responde a un cambio estratégico en las tácticas de los ciberdelincuentes. En lugar de utilizar enlaces maliciosos o infraestructura propia, los atacantes insertan contenido fraudulento en campos controlados por el usuario dentro de plataformas SaaS, los que luego son reproducidos de forma literal en correos automáticos generados por los propios servicios. De este modo, los mensajes heredan la reputación, autenticación y credibilidad de plataformas confiables, superando con facilidad los controles tradicionales de seguridad.
“El abuso de plataformas SaaS marca una evolución crítica en las técnicas de phishing. Hoy ya no basta con confiar en que un correo autenticado y bien presentado es legítimo, porque los atacantes están utilizando los propios sistemas de notificación de servicios confiables para engañar a los usuarios”, señaló Alejandro Botter, Gerente de Ingeniería de Check Point para el Cono Sur.
Uno de los elementos más relevantes de esta campaña es el uso de estafas telefónicas como etapa final del ataque. Al dirigir a las víctimas a llamar a números falsos, los delincuentes evitan el uso de enlaces maliciosos, lo que les permite esquivar tecnologías de detección basadas en análisis de URLs y trasladar el engaño a técnicas de ingeniería social por voz.
El estudio identificó tres mecanismos principales de abuso: la generación legítima de correos en plataformas SaaS y su redistribución automatizada; el uso indebido de flujos de notificación de Microsoft asociados a cuentas, suscripciones, Entra ID y Power BI; y la explotación de invitaciones comerciales de Amazon Business, todas sin comprometer directamente la infraestructura de estas compañías.
En términos sectoriales, las organizaciones más impactadas pertenecen a los rubros de tecnología, manufactura y educación, este último especialmente afectado por el uso intensivo y cotidiano de plataformas colaborativas como Zoom.
A nivel geográfico, la mayor concentración de ataques se registró en Estados Unidos y Europa, aunque Latinoamérica también figura entre las regiones impactadas, con presencia de casos en Brasil, México, Argentina, Colombia, Chile y Perú.
“Esta campaña demuestra que los modelos de defensa deben evolucionar. La seguridad ya no puede basarse únicamente en la reputación del remitente o en la autenticación del mensaje, sino que debe incorporar análisis de contexto y detección de abusos dentro de servicios legítimos”, agregó Botter.
Desde Check Point Research concluyen que, a medida que los servicios en la nube se consolidan como el principal canal de comunicación empresarial, resulta clave que las organizaciones refuercen sus estrategias de ciberseguridad y capaciten a los usuarios para desconfiar incluso de correos que aparentan provenir de marcas y plataformas ampliamente reconocidas.
Sobre el Autor(a)
