Email Threat Radar — Junio 2026
Las últimas amenazas de correo electrónico: suplantación de inicio de sesión real de Microsoft, estafas de códigos de dispositivo con un interruptor de apagado, ataques de clic dividido y el cambio hacia la entrega de malware
Durante el último mes, los investigadores de Barracuda han observado las siguientes amenazas de correo electrónico dirigidas a organizaciones y sus empleados:
- Phishing real de inicio de sesión de Microsoft utilizado para robar tokens de sesión en el ataque Tycoon 2FA
- Archivos adjuntos PDF utilizados para el phishing de código de dispositivo con un interruptor de apagado integrado
- Ataque de phishing engañoso de 2FA "clic dividido" donde un botón tiene dos resultados
- Cambio de robo de credenciales a entrega de malware en campañas de phishing
Página de inicio de sesión real de Microsoft utilizada para capturar tokens de sesión en el ataque Tycoon 2FA
Cómo funciona el ataque
Los atacantes están utilizando una página de inicio de sesión genuina de Microsoft en lugar de una versión falsa para interceptar los tokens de sesión y permisos de acceso de los usuarios, lo que les permite acceder al correo electrónico de la víctima, archivos online y servicios vinculados de Microsoft 365.
Los usuarios reciben una advertencia que parece legítima de que su bandeja de entrada está casi llena, con una invitación de calendario a una reunión con la seguridad de Microsoft. La reunión no se menciona en el cuerpo principal del correo electrónico, que presenta un botón para liberar correos electrónicos que han sido retenidos.
El botón es una invitación de calendario que enlaza a una página de inicio de sesión genuina de Microsoft, pero que se dirige a través de la plataforma Tycoon 2FA phishing-as-a-service. En esencia, los atacantes han registrado su propia cuenta de Microsoft y están pidiendo a la víctima que introduzca sus datos en esa.
Ejemplo del correo electrónico de ataque con el botón que los lleva a la verdadera página de inicio de sesión de Microsoft
El usuario introduce sus credenciales y recibe un token de sesión, que es capturado por los atacantes.
En un paso suplementario, se pide a las víctimas que introduzcan sus credenciales nuevamente, pero esta vez en una página falsa, lo que permite a los atacantes robar también su contraseña.
Las técnicas utilizadas en esta campaña basada en Tycoon 2FA ayudan a aumentar las posibilidades de éxito de los atacantes:
- La mayoría de los ataques de phishing se basan en páginas de imitación. Aquí, los atacantes utilizan un dominio genuino de Microsoft, lo que elude muchas comprobaciones de seguridad e incluso puede engañar a empleados entrenados en detectar URLs falsificadas.
- La captura de tokens de sesión y permisos de OAuth proporciona a los atacantes acceso inmediato y persistente.
- Las invitaciones de calendario son un vector de ataque raramente monitorizdo, lo que las hace altamente efectivas para eludir las defensas tradicionales del correo electrónico.
Para equipos más técnicos:
La fase de autorización OAuth utilizada con fines maliciosos consiste en redirigir a la víctima a una página de autorización OAuth legítima de Microsoft registrada por los atacantes. Los investigadores observaron lo siguiente:
Código de ataque para la interceptación de credenciales por el adversario en el medio desde una página de inicio de sesión real de Microsoft
- client_id ‘16d628a6-9445-4210-8e5b-527b7c9c6191’: Esta es una aplicación maliciosa registrada en Microsoft Entra por los atacantes. Solicita permisos con alcance a Outlook e incluye ‘offline_access’, lo que otorga un token de actualización para acceso persistente.
- PKCE (code_challenge): El uso de un desafío de código S256 muestra que la infraestructura de los atacantes admite la Prueba de Clave para Intercambio de Código (PKCE), haciendo que el flujo OAuth parezca aún más legítimo y consistente con los estándares modernos de autenticación.
PDFs utilizados para ataques de phishing con códigos de dispositivo con interruptor de apagado integrado
Cómo funciona el ataque
Los atacantes han eliminado enlaces sospechosos del cuerpo principal del correo electrónico de phishing y los han colocado en un archivo PDF adjunto donde es menos probable que sean detectados por los escáneres de URL.
En la campaña observada por los investigadores de Barracuda, el correo electrónico pide al destinatario que abra un archivo adjunto relacionado con un problema de cumplimiento normativo o de pago. Un enlace en el PDF lleva a los usuarios a un flujo de autenticación de dispositivo falso que captura sus credenciales y dirección de correo electrónico profesional.
Ejemplo del correo electrónico de phishing del dispositivo Tycoon 2FA
Anteriormente, informó que los ataques de phishing de códigos de dispositivo utilizaron APIs reales de Microsoft. En esta campaña, los atacantes generan códigos de dispositivo falsos localmente en el navegador, imitando el flujo de autorización de códigos de dispositivo legítimo que las víctimas reconocerán al vincular aplicaciones y dispositivos a sus cuentas de Microsoft.
El uso de CAPTCHA bloquea el escaneo automatizado y la detección de sandbox y asegura que solo los usuarios reales lleguen a la etapa de phishing.
La campaña también es notable por su infraestructura de corta duración. Las páginas de phishing son autodestructivas y desaparecen automáticamente después de un tiempo establecido. Esto limita el análisis forense o la detección posterior al evento.
Código de ataque que muestra las instrucciones de caducidad para la página de phishing
Ataque furtivo de 2FA presenta una rara técnica de "clic dividido" donde un botón tiene dos resultados
Cómo funciona el ataque
Los investigadores de Barracuda encontraron un ataque de correo electrónico que presentaba un solo botón que se comportaba de manera diferente según dónde haga clic el usuario.
El correo electrónico advierte a los usuarios que su buzón está lleno, y el mensaje incluye un botón de "Resolver problema".
Al hacer clic en la mitad superior del botón se abre una página legítima de Microsoft, mientras que al hacer clic en la mitad inferior se activa una redirección maliciosa.
La opción maliciosa abre una URL de blob (una página web generada por el navegador) que redirige mediante un enlace a una página de phishing perteneciente a la plataforma de phishing-as-a-service Sneaky 2FA. Aquí es donde los atacantes capturan credenciales y otra información sensible.
La interacción de clic dividido es una técnica raramente vista. Se utiliza para evadir el análisis automatizado de enlaces y garantizar que las herramientas de prueba solo puedan ver la versión segura.
Las URLs de Blob se generan dinámicamente por el navegador y son más difíciles de inspeccionar o bloquear usando herramientas tradicionales.
Tácticas emergentes: El phishing pasa de la captura de credenciales al malware
Un JavaScript esteganográfico disfrazado como un PDF inofensivo
Los investigadores de Barracuda descubrieron un ataque de phishing donde la típica descarga de ‘factura falsa’ resulta ser un script malicioso. El correo electrónico de ataque parece ser una notificación rutinaria de factura, presentando a las víctimas un enlace a un documento falso llamado “Invoice.pdf (11.3 KB).”
Sin embargo, en lugar de entregar una factura, el enlace desencadena la descarga de un archivo JavaScript malicioso. El script oculta su código malicioso en el documento falso utilizando esteganografía y ofuscación. Una vez ejecutado, puede cargar malware adicional, recopilar información del sistema, establecer persistencia y comunicarse con la infraestructura controlada por los atacantes.
Un ataque de suplantación de identidad distribuye malware sin archivos
En esta campaña, los atacantes suplantan a la Administración de la Seguridad Social para distribuir un archivo JavaScript malicioso disfrazado como un PDF de recibo de pago. El script, fuertemente ofuscado, reconstruye una URL oculta, recupera una carga útil de segunda etapa desde un servidor remoto y la ejecuta directamente en la memoria utilizando componentes ActiveX de Windows.
Al evitar la descarga de archivos y aprovechar la ejecución en memoria, el malware reduce su visibilidad ante las herramientas de seguridad tradicionales y puede ser utilizado para entregar ladrones de credenciales, troyanos bancarios u otras cargas útiles maliciosas.
Suplantación multietapa de Microsoft para aumentar el engaño
Los investigadores también observaron un ataque en el que un archivo HTML llevaba al destinatario a un falso OneDrive, que a su vez los dirigía a un inicio de sesión de Excel. Este tipo de redirección en múltiples pasos mejora las tasas de éxito del robo de credenciales al ocultar eficazmente la intención maliciosa.
Cómo mantenerse seguro frente a estos ataques
- Proteja las identidades y los tokens de sesión, no solo las contraseñas.
- Extienda la detección más allá del correo electrónico para incluir calendarios, archivos adjuntos y flujos de inicio de sesión.
- Utilice la detección basada en el comportamiento para detectar ataques evasivos.
- Invierta en protección de archivos adjuntos y endpoints para amenazas sin archivos y embebidas.
- Habilite respuesta rápida, ya que los ataques son de corta duración y difíciles de rastrear.
- Actualice la formación para reflejar las técnicas de phishing del mundo real que ahora eluden los controles tradicionales.
Email Threats Report 2026
Descubra cómo la IA y el phishing-as-a-service están transformando el panorama de amenazas de correo electrónico y cómo mantenerse protegido.
Suscríbase al blog de Barracuda.
Regístrese para recibir Threat Spotlight, comentarios de la industria y más.
El informe sobre amenazas globales de Managed XDR
Conclusiones clave sobre las tácticas que utilizan los atacantes para atacar a las organizaciones y los puntos débiles de seguridad que intentan explotar