Los hackers están usando una táctica bastante ingeniosa: mezclan enlaces legítimos de office.com con los Servicios de Federación de Active Directory (ADFS) para llevar a los usuarios a una página de phishing que roba credenciales de Microsoft 365.
Lo preocupante es que este método les permite evadir los filtros de seguridad tradicionales (como los que analizan URLs) e incluso saltarse la autenticación multifactor, ya que todo comienza desde un dominio confiable de la propia infraestructura de Microsoft. Una jugada inteligente… pero peligrosa.
En esta campaña reciente de phishing, se analizó cómo los atacantes estaban redirigiendo a trabajadores desde un enlace legítimo de outlook.office.com hacia un sitio de phishing diseñado para robar credenciales.
Lo interesante es que, aunque la página falsa no tenía nada especialmente sofisticado para evitar su detección, el truco estaba en cómo se entregaba el ataque. Al aprovechar la infraestructura legítima de Microsoft, el enlace malicioso lograba pasar desapercibido por muchas herramientas de seguridad.
Todo comenzaba con un clic en un anuncio patrocinado malicioso en los resultados de búsqueda de Google para Office 265 (sí, con ese error de tipeo tan común). Desde ahí, la víctima era dirigida primero a un sitio de Microsoft auténtico, y luego redirigida a un dominio intermedio, como bluegraintours[.]com, que finalmente la llevaba a la página de phishing.
Esta cadena de redireccionamientos, utilizando dominios legítimos como puente, es lo que hace tan difícil detectar el ataque a simple vista —incluso para los sistemas automatizados.
Cronología de la fuente del ataque (Fuente: Push Security)
Podría interesarte leer: Ingeniería social + Experiencia de Usuario: La Fórmula de los Hackers
A simple vista, parecía que los usuarios estaban siendo redirigidos directamente desde el dominio legítimo de office.com hacia una página maliciosa —todo sin necesidad de un típico correo de phishing.
Pero al investigar más a fondo, los expertos descubrieron algo mucho más elaborado: los atacantes habían creado su propio inquilino personalizado de Microsoft y lo configuraron con Active Directory Federation Services (ADFS), una herramienta que permite a los usuarios iniciar sesión en varias aplicaciones con una sola cuenta (lo que se conoce como inicio de sesión único o SSO).
Aunque ADFS sigue estando disponible en Windows Server 2025 y no hay planes oficiales de retirarlo, Microsoft ya está recomendando migrar a Azure Active Directory (Entra ID) para una gestión más moderna y segura de identidades (IAM).
Lo más preocupante aquí es que, al tener el control de un inquilino de Microsoft, el atacante pudo usar ADFS como si fuera un proveedor legítimo de identidad. Así, cuando una víctima accedía al dominio malicioso bluegraintours[.]com, se activaba una solicitud de autenticación que parecía completamente válida… pero en realidad los llevaba a una página de phishing preparada para robar credenciales.
En resumen, no solo estaban usando infraestructuras legítimas como señuelo, sino que también aprovechaban herramientas corporativas reales para hacer que todo pareciera normal. Y eso es precisamente lo que hace este tipo de ataques tan difíciles de detectar.
Servidor ADFS que recibe la solicitud de autorización del origen de dominio del atacante
Una de las razones por las que este tipo de ataque es tan difícil de detectar es que el sitio intermediario (en este caso, bluegraintours[.]com) nunca es visible para la víctima. Todo sucede tras bambalinas, como parte de una cadena de redirecciones perfectamente orquestada.
Para pasar desapercibido ante los escáneres automatizados de seguridad, el atacante llenó ese sitio con falsos artículos de blog y contenido genérico, dándole una apariencia legítima a simple vista. Así, mientras el usuario nunca lo ve, los sistemas de seguridad tampoco lo marcan como sospechoso.
Pero eso no es todo. Un análisis más profundo del ataque reveló que los atacantes configuraron restricciones condicionales de acceso, lo que significa que solo ciertos usuarios pueden llegar a la página de phishing final.
Si alguien que no cumple con los criterios accede al enlace, es redirigido de vuelta a un sitio legítimo de Microsoft, como office.com. Este filtro inteligente ayuda a los atacantes a mantenerse bajo el radar.
Lo más curioso es que, según los investigadores, no hay un patrón claro en los objetivos. No parece que estén apuntando a sectores específicos ni a cargos determinados. Todo indica que los atacantes están experimentando con nuevos métodos, probando qué funciona y qué no.
Aunque el uso de ADFS en campañas de phishing no es nuevo, lo que cambia esta vez es el enfoque: en lugar de clonar una página de inicio de sesión ADFS, el atacante creó su propio entorno legítimo y lo usó como parte de la red de redirección. Es un giro más sofisticado y sutil que los intentos anteriores.
Para evitar caer en este tipo de trampas, en TecnetOne te recomendamos implementar varias medidas de seguridad, entre ellas:
Supervisar los redireccionamientos que usan ADFS, especialmente si apuntan a destinos inusuales o no verificados.
Controlar los parámetros utilizados en las redirecciones desde Google Ads hacia dominios como office.com, ya que pueden revelar intentos de malvertising o publicidad maliciosa.
Educar a los trabajadores sobre los nuevos métodos de phishing, más sofisticados y difíciles de detectar.
Revisar regularmente la configuración de inquilinos de Microsoft y ADFS, para evitar que se usen indebidamente como parte de la cadena de ataque.
Además de estas buenas prácticas, contar con una solución de seguridad avanzada como Sophos puede marcar una gran diferencia. Sophos ofrece protección integral para endpoints, redes, servidores y correo electrónico, con capacidades de detección proactiva basada en inteligencia artificial, análisis de comportamiento en tiempo real y defensa contra ataques dirigidos como el phishing basado en redirecciones.
En TecnetOne, somos Partners Certificados de Sophos, lo que nos permite brindarte asesoramiento especializado, licenciamiento oficial y la implementación de soluciones adaptadas a las necesidades de tu empresa. Nuestro equipo técnico está capacitado para ayudarte a proteger tu infraestructura TI con herramientas de última generación, sin complicaciones y con soporte local.
Este caso nos recuerda que, en ciberseguridad, la confianza en dominios conocidos ya no es suficiente. Los atacantes están explotando precisamente esa confianza para ocultar sus movimientos y robar credenciales sin dejar rastro evidente.