Recibir un enlace de una herramienta tan confiable como Microsoft Sway no suele levantar sospechas. A simple vista, todo parece seguro, pero al escanear un código QR, podrías estar abriendo la puerta a una trampa digital diseñada para robar tu información. Esto no es solo un riesgo hipotético, sino una amenaza real que ya está sucediendo y que nos obliga a cuestionar la seguridad de los servicios en los que confiamos.
Una campaña masiva de phishing con códigos QR aprovechó Microsoft Sway, una herramienta en la nube para crear presentaciones en línea, para alojar páginas de destino y engañar a los usuarios de Microsoft 365 para que entregaran sus credenciales.
En julio de 2024, se registró un aumento significativo en estos ataques, multiplicándose por 2000 en comparación con los niveles bajos reportados en la primera mitad del año. Este crecimiento masivo subraya la magnitud de la campaña. Los ataques se enfocaron principalmente en usuarios de Asia y América del Norte, con los sectores de tecnología, manufactura y finanzas siendo los más afectados.
Los correos electrónicos dirigían a las posibles víctimas hacia páginas de phishing alojadas en el dominio sway.cloud.microsoft. Estas páginas persuadían a los usuarios a escanear códigos QR, que luego los redirigían a sitios web maliciosos adicionales.
Los atacantes suelen instar a las víctimas a escanear los códigos QR con sus dispositivos móviles, que a menudo cuentan con medidas de seguridad menos robustas, aumentando así la probabilidad de evadir los controles de seguridad y facilitar el acceso sin restricciones a sitios de phishing.
"Como la URL está incrustada en una imagen, los escáneres de correo electrónico que solo analizan contenido basado en texto pueden no detectarla. Además, cuando un usuario recibe un código QR, es común que use otro dispositivo, como su teléfono móvil, para escanearlo", explicaron expertos en seguridad.
"Dado que las medidas de seguridad en dispositivos móviles, especialmente en teléfonos personales, no suelen ser tan estrictas como en laptops y computadoras de escritorio, las víctimas tienden a ser más susceptibles a este tipo de abuso".
Ejemplo de página de phishing de Microsoft Sway
Los atacantes emplearon varias estrategias para aumentar la efectividad de su campaña. Entre estas tácticas se encontraba el "phishing transparente", que consistía en robar tanto las credenciales como los códigos de autenticación multifactor para luego usarlos inmediatamente y acceder a las cuentas de Microsoft de las víctimas, todo mientras mostraban la página de inicio de sesión legítima para evitar levantar sospechas.
Otra técnica utilizada fue el uso de Cloudflare Turnstile, una herramienta diseñada para proteger sitios web contra bots. Los atacantes aprovecharon esta herramienta para ocultar el contenido de phishing de sus páginas de destino, dificultando la detección por parte de escáneres estáticos y ayudando a mantener la reputación del dominio, lo que les permitió evadir bloqueos de servicios de filtrado web como Google Safe Browsing.
Microsoft Sway también fue explotado en la campaña de phishing "PerSwaysion" hace cinco años, la cual tenía como objetivo obtener las credenciales de inicio de sesión de Office 365 mediante un kit de phishing ofrecido como parte de una operación de malware como servicio (MaaS).
En aquel momento, investigadores descubrieron que estos ataques engañaron a al menos 156 personas en posiciones de alto rango dentro de pequeñas y medianas empresas, incluidas firmas de servicios financieros, bufetes de abogados y grupos inmobiliarios.
Los investigadores informaron que más del 20 % de las cuentas de Office 365 comprometidas pertenecían a ejecutivos, presidentes y directores generales de organizaciones en Estados Unidos, Canadá, Alemania, Reino Unido, Países Bajos, Hong Kong y Singapur.
Te podrá interesar leer: Seguridad Avanzada en Microsoft 365 con TecnetProtect
Protegerse contra estos ataques requiere combinar la educación del usuario, medidas técnicas y políticas organizacionales. Es clave capacitar a los trabajadores para reconocer riesgos de phishing y ser cautelosos al escanear códigos QR. Además, es importante implementar filtros de seguridad avanzados y autenticación multifactor (MFA) para proteger sistemas críticos. Finalmente, limitar el acceso a herramientas como Microsoft Sway y revisar regularmente las políticas de seguridad ayuda a reducir la exposición al riesgo.
Por supuesto, una de las mejores formas de proteger a tu empresa contra ciberamenazas es contar con una solución de seguridad integral que abarque la protección de datos, copias de seguridad, recuperación y protección antiphishing. Con TecnetProtect, dispones de todas estas capacidades en un solo producto, lo que facilita la gestión de la seguridad y garantiza una protección robusta contra las amenazas emergentes.