Una nueva campaña de phishing está aprovechando una función poco conocida de Microsoft 365 llamada “Envío directo” para burlar la seguridad del correo y robar credenciales de acceso.
¿Y qué es eso del "envío directo"? Básicamente, es una función que permite que dispositivos como impresoras, escáneres o incluso algunas aplicaciones envíen correos electrónicos usando el dominio de la empresa, como si fueran mensajes legítimos. Esto se hace a través del servidor (o “host inteligente”) del cliente de Microsoft 365, y fue pensado para facilitar el envío de mensajes internos sin demasiadas complicaciones.
El problema es que esta función no exige autenticación. Eso significa que alguien desde fuera, si sabe cómo aprovecharlo, puede mandar correos que parecen totalmente reales, como si vinieran de un compañero o del equipo de IT. Por eso, aunque útil, también es una puerta abierta para los atacantes si no se configura con mucho cuidado.
De hecho, Microsoft reconoce que se trata de una función riesgosa y recomienda que solo sea usada por clientes con conocimientos avanzados, especialmente aquellos que tienen experiencia administrando servidores de correo.
"Recomendamos el envío directo solo para clientes avanzados dispuestos a asumir las responsabilidades de los administradores de servidores de correo electrónico". Explica Microsoft.
En otras palabras, si vas a usar esta función, necesitas saber bien lo que estás haciendo: cómo configurarla correctamente y seguir las mejores prácticas para que no se convierta en un agujero de seguridad. Si está mal configurada, no solo podrías quedarte sin correo, sino que también podrías exponer tu empresa a ataques.
Microsoft ya ha compartido formas para desactivar esta función (más adelante en el artículo te explicamos cómo) y también están trabajando en una solución que permita dejar de depender de este método por completo.
¿Cómo funciona el abuso del envío directo de Microsoft 365?
Se estima que más de 70 empresas han sido objetivo hasta ahora, y la gran mayoría (alrededor del 95%) están ubicadas en Estados Unidos.
Aunque las víctimas pertenecen a diferentes industrias, la campaña parece tener el foco especialmente puesto en los sectores de servicios financieros, construcción, ingeniería, fabricación, salud y seguros. De hecho, el sector financiero es el más afectado hasta el momento, seguido por el industrial y el sanitario.
Lo preocupante de este ataque es que se basa en una técnica muy sutil: los atacantes utilizan PowerShell para enviar correos electrónicos que parecen internos, usando el servidor de correo (conocido como host inteligente) de una empresa legítima. El resultado es un correo que, a simple vista, parece provenir de alguien dentro de la organización… aunque en realidad ha sido enviado desde una dirección IP externa.
Este tipo de ataque aprovecha las debilidades del envío directo, una función que (como ya hemos visto) no requiere autenticación y puede ser utilizada para hacer que correos externos parezcan completamente confiables para el destinatario.
Aquí tienes un ejemplo de cómo se puede usar PowerShell para mandar correos a través de esta función:
Send‑MailMessage -SmtpServer company‑com.mail.protection.outlook.com -To joe@company.com -From joe@company.com -Subject "New Missed Fax‑msg" -Body "You have received a call! Click on the link to listen to it. Listen Now" -BodyAsHtml
Este tipo de ataque funciona porque el envío directo, cuando se usa con el host inteligente de Microsoft 365, no requiere autenticación. En otras palabras, el sistema confía automáticamente en el remitente, tratándolo como si fuera parte de la organización. Eso permite a los atacantes saltarse medidas de seguridad como SPF, DKIM, DMARC y otros filtros que normalmente ayudan a identificar correos falsos.
Para engañar a las víctimas, los correos se hacen pasar por notificaciones de voz o fax, algo que mucha gente suele recibir en entornos de oficina. Los asuntos suelen decir cosas como: “Mensaje de voz dejado por la persona que llama” o algo similar. Y los archivos adjuntos vienen con nombres que suenan creíbles, como 'Fax-msg', 'Mensaje de VM', 'Play_VM-Ahora' o simplemente 'Escuchar'.
El objetivo, claro, es que parezca algo normal del día a día y que la gente lo abra sin pensarlo dos veces.
Ejemplo de correo electrónico de phishing de la campaña (Fuente:Varonis)
Lo curioso de esta campaña es que, a diferencia de otros ataques de phishing, los archivos PDF no traen enlaces directos a páginas falsas.
En lugar de eso, los documentos le dicen a la persona que escanee un código QR con su celular para poder “escuchar” el supuesto mensaje de voz. Para hacerlo más convincente, los PDFs vienen con el logotipo de la empresa, lo que les da un toque de legitimidad que hace que muchos bajen la guardia sin sospechar nada raro.
Documento PDF con códigos QR (Fuente: BleepingComputer)
Cuando alguien escanea el código QR y abre el enlace, lo lleva a una página falsa que imita el inicio de sesión de Microsoft. Todo parece normal, pero en realidad es un sitio de phishing diseñado para robar las credenciales del empleado.
En uno de los casos observados, una empresa detectó actividad sospechosa y descubrió que los atacantes estaban usando PowerShell para enviar correos a través del host inteligente, esta vez desde una IP ubicada en Ucrania (139.28.36[.]230) y otras similares del mismo rango.
Lo interesante (y preocupante) es que esos correos no pasaron los filtros de SPF y DMARC, que normalmente ayudan a detectar si un correo es legítimo. Sin embargo, como se enviaron por el host inteligente de Microsoft 365, el sistema los trató como si fueran mensajes internos de confianza, así que lograron pasar.
En otro caso, un correo parecía venir de una dirección interna de la empresa. También fue enviado a través del host inteligente, y a pesar de que falló todas las validaciones (SPF, DKIM y DMARC), igualmente llegó a la bandeja de entrada del destinatario. Ese mensaje en particular salió desde la IP 51.89.86[.]105.
Además, se identificaron otros indicadores de compromiso (IoC), como los dominios maliciosos usados en esta campaña, que podrían ayudar a otras empresas a detectar y frenar estos ataques antes de que hagan daño.
Podría interesarte leer: ¿Por qué siguen funcionando los ataques de phishing en 2025?
¿Cómo protegerse de los ataques de phishing por envío directo?
Para reducir el riesgo de este tipo de ataques, se recomienda activar una nueva opción llamada “Rechazar envío directo” dentro del Centro de administración de Exchange. Esta configuración fue lanzada por Microsoft en abril de 2025, precisamente para ayudar a bloquear correos enviados a través de este método cuando no se necesita.
Antes, Microsoft sugería usar SPF en modo soft-fail (es decir, no bloquear del todo los correos que fallan en las validaciones), para evitar que correos legítimos se quedaran atrapados por errores de enrutamiento. El problema es que eso también abría la puerta a que los atacantes usaran Direct Send sin que se pudiera bloquear fácilmente.
Por eso ahora han creado esta nueva opción: "Sabemos que SPF ayuda a proteger contra la suplantación de identidad, pero también entendemos que un fallo estricto en SPF puede bloquear correos válidos. Como muchos clientes no necesitan usar Direct Send, desarrollamos esta opción para permitirles bloquearlo por completo", explicó Microsoft al lanzar la función en vista previa pública.
Además de activar esta nueva configuración, también se recomienda lo siguiente:
-
Aplicar una política DMARC más estricta, con el valor
p=reject, para que los correos que no pasen la verificación se bloqueen directamente. -
Marcar o poner en cuarentena los correos internos que no estén autenticados, para evitar que se cuelen mensajes falsos.
-
Hacer cumplir un "hardfail" en SPF dentro de Exchange Online Protection, lo que impide la entrega de correos que no superen las validaciones.
-
Activar las políticas anti-spoofing, que ayudan a identificar intentos de suplantación dentro de la organización.
-
Capacitar al personal, especialmente sobre nuevos trucos como los códigos QR que llevan a páginas falsas. Enseñarles a dudar antes de escanear algo desconocido es más útil de lo que parece.
