Los hackers no siempre necesitan un exploit para hackearte. A veces, lo único que hace falta es confianza.
El panorama de los ataques ha cambiado, igual que las generaciones. La Generación Z, famosa por buscar siempre lo más rápido y cómodo, ya está jugando en las grandes ligas de la ciberseguridad… en ambos bandos. Algunos trabajan para proteger datos y sistemas; otros, para robarlos.
Con la llegada de la inteligencia artificial y las plataformas no-code, crear campañas de phishing convincentes es más fácil que nunca. Hoy, los atacantes mezclan herramientas de confianza predeterminadas con servicios gratuitos y legítimos para esquivar tanto las defensas técnicas como las alarmas internas de las víctimas.
Claro, el viejo truco de mandar un adjunto malicioso por correo sigue vigente, pero ya no es su única carta. Ahora, los delincuentes también comparten enlaces o archivos infectados dentro de la propia organización, usando funciones de colaboración integradas en plataformas como Microsoft 365… y aquí es donde entra en juego lo que llamamos phishing nativo.
El phishing nativo entrega contenido peligroso desde un canal tan familiar que parece totalmente legítimo. Por ejemplo: un archivo enviado a través de OneDrive o SharePoint. No se escanea como un adjunto de correo, llega por un sistema de confianza y, para colmo, es un método poco común, lo que lo hace aún más difícil de detectar.
Lo preocupante es que todo empieza con un solo usuario interno comprometido. A partir de ahí, la seguridad de toda la empresa queda en jaque.
En este artículo vamos a repasar casos reales en los que un atacante consiguió el control de una cuenta de Microsoft 365 y, combinando IA y herramientas no-code, lanzó ataques de phishing nativo que pasaron casi inadvertidos.
Microsoft OneNote suele ser la oveja olvidada de la familia Microsoft 365. Es una herramienta genial para tomar notas, organizar ideas y colaborar, pero precisamente por pasar desapercibida para muchos equipos de seguridad, se ha convertido en el nuevo juguete favorito de los ciberdelincuentes.
A diferencia de Word o Excel, OneNote no permite macros VBA, lo que podría hacer pensar que es más seguro. Sin embargo, se ha detectado un aumento notable en su uso para ataques de phishing, y hay varias razones de peso para ello:
No está limitado por Protected View, así que el contenido se abre directamente sin esa molesta advertencia de “vista protegida”.
Su formato es muy flexible, lo que permite a los atacantes crear diseños que parecen legítimos pero esconden trampas.
Puede incrustar archivos o enlaces maliciosos, camuflados entre notas, imágenes o botones falsos.
Y para rematar, OneNote viene preinstalado y es de confianza en la mayoría de las empresas. Eso significa que los atacantes pueden usarlo como un canal de entrega legítimo, sustituyendo las viejas macros por técnicas de ingeniería social mucho más efectivas para saltarse las defensas tradicionales.
En pocas palabras: lo que antes era una simple aplicación de notas, ahora es una puerta trasera camuflada que pasa bajo el radar de muchos equipos de seguridad.
En algunos de los casos más recientes, los atacantes no han necesitado grandes malabares técnicos para causar estragos. El patrón es simple, pero efectivo.
Primero, el ciberdelincuente consigue las credenciales de Microsoft 365 de un empleado mediante un ataque de phishing. Con esa puerta abierta, entra en la cuenta y crea un archivo de OneNote dentro de la carpeta Documentos personales del OneDrive del usuario comprometido.
¿El truco? Dentro de ese archivo incrusta una URL señuelo que lleva a la siguiente fase del ataque. Así, lo que parece un archivo interno y de confianza se convierte en el primer paso de una cadena de phishing capaz de poner en riesgo a toda la organización.
En la mayoría de los intentos de phishing, los atacantes recurren a direcciones de correo externas para imitar las clásicas notificaciones de Microsoft: “Alguien compartió un archivo con usted”. Este truco suele ser relativamente fácil de detectar para usuarios entrenados y, en muchos casos, los filtros de seguridad lo bloquean analizando los encabezados y verificando el remitente.
Pero en este caso, el atacante decidió ir por un camino más simple… y mucho más efectivo. En lugar de falsificar una notificación, usó directamente la función integrada para compartir archivos de OneDrive, aprovechando una cuenta de usuario ya comprometida.
El resultado fue demoledor: cientos de personas dentro de la organización recibieron un correo legítimo de Microsoft, aparentemente enviado por un compañero de trabajo. El mensaje incluía un enlace “seguro” a un archivo alojado dentro del propio OneDrive corporativo, lo que lo hacía extremadamente convincente y prácticamente invisible para los sistemas de seguridad.
Así, el atacante logró expandir el phishing de forma lateral, usando como caballo de Troya un servicio en el que todos confiaban.
Notificación falsa de "Alguien compartió un archivo contigo"
Podría interesarte leer: ¿Por qué siguen funcionando los ataques de phishing en 2025?
A diferencia de muchas campañas de phishing que circulan por ahí, esta tuvo una tasa de éxito inusualmente alta. Decenas de usuarios hicieron clic en el enlace y, de forma voluntaria, ingresaron sus credenciales. El motivo es simple: después del clic, eran redirigidos a una página de inicio de sesión falsa que imitaba casi a la perfección el portal de autenticación real de la empresa.
El sitio fraudulento se montó usando Flazio, un creador de páginas web gratuito impulsado por IA. Esto le permitió al atacante clonar con precisión el diseño original y ponerlo en línea en cuestión de minutos, sin conocimientos avanzados de programación.
El resultado fue una réplica tan convincente que, al comparar la página legítima y la falsa, las diferencias eran prácticamente imperceptibles… y esa es justamente la razón de su éxito.
Sitio de phishing que imita el portal original
En los últimos meses, también se ha detectado una tendencia en alza que está facilitando la vida a los ciberdelincuentes: usar pruebas gratuitas de plataformas no-code para montar páginas de phishing personalizadas en cuestión de minutos.
Un ejemplo claro fue la página de inicio de sesión falsa creada con Flazio, pero no es la única. También hemos visto ataques usando herramientas como ClickFunnels y JotForm, que, aunque legítimas y pensadas para negocios, se han convertido en un recurso perfecto para estafadores.
En varios casos, los atacantes alojaron páginas que imitaban notificaciones de Adobe con mensajes tipo “Haga clic para ver el documento”. Al pulsar, la víctima era redirigida a una pantalla de inicio de sesión falsa diseñada específicamente para robar credenciales.
El atractivo para los atacantes es obvio: estas plataformas les ofrecen una forma fácil, rápida y gratuita de crear y hospedar contenido de phishing, sin conocimientos técnicos avanzados y con una apariencia profesional que resulta difícil de sospechar.
Página de phishing creada en Jotform
Conoce más sobre: Ingeniería social + Experiencia de Usuario: La Fórmula de los Hackers
Si quieres reducir al mínimo el riesgo de suplantación de identidad y ataques que usan OneNote como canal, empieza por aplicar estas buenas prácticas desde ahora:
Activa MFA y acceso condicional para todos los usuarios. Así, aunque roben una contraseña, no podrán entrar sin la segunda verificación.
Haz simulaciones periódicas de phishing y vishing (sí, incluye a la alta dirección) para entrenar a todo el equipo y poner a prueba la reacción ante escenarios reales.
Facilita la denuncia de actividades sospechosas asegurando que los canales internos para reportar incidentes sean claros, rápidos y accesibles para todos.
Revisa y ajusta la configuración de uso compartido en Microsoft 365 para evitar que archivos internos se expongan más de lo necesario.
Configura alertas para comportamientos de compartición inusuales y mantén un ojo en el tráfico hacia creadores de sitios no-code conocidos que puedan usarse en phishing.
Las tácticas de los atacantes evolucionan constantemente, y nuestras defensas deben hacerlo al mismo ritmo. Entender cómo explotan la confianza y se apoyan en herramientas modernas es clave para anticiparse. Al final, no solo se trata de blindar sistemas: se trata de proteger a las personas que los usan cada día.
Cuando una campaña de phishing golpea a tu organización, la velocidad de reacción lo es todo. Ahí es donde TecnetProtect marca la diferencia.
TecnetProtect, no solo ofrece copias de seguridad seguras en la nube, sino que también integra ciberprotección avanzada capaz de monitorear la actividad de los usuarios, el flujo de datos y los accesos en tiempo real. Esta visibilidad instantánea permite detectar comportamientos sospechosos antes de que el daño sea irreversible.
Además, sus capacidades de investigación forense cibernética facilitan rastrear cómo se inició un ataque, qué usuarios o sistemas fueron comprometidos y qué datos pueden estar en riesgo. En pocas palabras: puedes evaluar el impacto de forma rápida y precisa, para responder y contener la amenaza sin perder tiempo.
Con TecnetProtect, no solo recuperas la información después de un incidente: también cuentas con una defensa activa que te ayuda a prevenir, detectar y responder frente a campañas de phishing cada vez más sofisticadas.